The invention discloses a process hiding method and a computer readable storage medium. The method includes: acquiring a process matching the program path and the preset program path from the process list at a regular time, and acquiring the process number of the process; filtering the process according to the acquired process number when the target process queries the process list; List and return the filtered process list to the target process. The invention can realize process concealment simply and efficiently, and has high flexibility, strong stability and strong versatility.
【技术实现步骤摘要】
进程隐藏方法及计算机可读存储介质
本专利技术涉及软件安全
,尤其涉及一种进程隐藏方法及计算机可读存储介质。
技术介绍
在一些软件系统中,为了防止一些关键的进程被强制结束或者被察觉,就需要对这个软件系统中的关键进程或者全部进程进行隐藏保护,也就是说,这些关键进程不能在任务管理器等工具中被查询。现有的进程隐藏方法层出不穷,但是这些方法不能同时做到有效、灵活和稳定。其中包括内核层的进程隐藏方法,例如DKOM(DirectKernelObjectManipulation,直接操作内核对象)和SSDTHOOK(SystemServicesDescriptorTable,系统服务描述符表)等方法。还有用户层的进程隐藏方法,例如远程DLL注入结合APIHOOK的技术和全局消息钩子结合APIHOOK等方法。但是,这些方法都不够灵活不够稳定,理由如下:1、DKOM和SSDTHOOK等内核层的进程隐藏技术虽然简单有效,但是,如果应用层与内核层没有通信的话,所有应用层程序都无法检测到在内核层被隐藏的程序,这样就会造成所有的用户层程序都不能查看被隐藏的进程,而在实际应用中我们可能需要部分应用层程序能检测到被隐藏的进程,因此这些内核层的进程隐藏技术不够灵活。2、内核层的进程隐藏技术需要加载驱动,修改内存系统内核,造成系统不稳定的问题。在WIN64位系统有KPP(KernelPatchProtection内核补丁保护)的限制而导致的蓝屏问题。3、在用户层根据进程ID来判断进程是否需要隐藏的办法虽然有效,但是进程ID是伴随进程启动而产生的,导致应用该方法还需要准确判断进程的启动关 ...
【技术保护点】
1.一种进程隐藏方法,其特征在于,包括:定时从进程列表中获取程序路径与预设的程序路径相匹配的进程,并获取所述进程的进程编号;当目标进程查询进程列表时,根据所获取的进程编号过滤进程列表,并将过滤后的进程列表返回给所述目标进程。
【技术特征摘要】
1.一种进程隐藏方法,其特征在于,包括:定时从进程列表中获取程序路径与预设的程序路径相匹配的进程,并获取所述进程的进程编号;当目标进程查询进程列表时,根据所获取的进程编号过滤进程列表,并将过滤后的进程列表返回给所述目标进程。2.根据权利要求1所述的进程隐藏方法,其特征在于,所述定时从进程列表中获取程序路径与预设的程序路径相匹配的进程,并获取所述进程的进程编号具体为:确定隐藏进程对应的程序路径;服务主进程根据预设的时间周期,获取进程列表;获取所述进程列表中各进程对应的程序路径;遍历所述进程列表;若一进程对应的程序路径与所述隐藏进程对应的程序路径相匹配,则获取所述一进程的进程编号。3.根据权利要求2所述的进程隐藏方法,其特征在于,所述获取所述一进程的进程编号之后,进一步包括:当进程列表遍历结束时,将所获取的进程编号存储至共享内存中。4.根据权利要求1所述的进程隐藏方法,其特征在于,所述当目标进程查询进程列表时,根据所获取的进程编号过滤进程列表,并将过滤后的进程列表返回给所述目标进程具体为:安装全局消息钩子;当通过全局消息钩子检测到当前打开的进程为预设的目标进程,则将目标进程中获取进程列表的API函数的入口地址修改为预设的进程隐藏函数的入口地址;当目标进程查询进程列表时,通过所述进程隐藏函数过滤进程列表中进程编号与所获取的进程编号一致的进程,并将过滤后的进程列表返回给所述目标进程。5.根据权利要求4所述的进程隐藏方法,其特征在于,所述全局消息钩子包括鼠标消息钩子、键盘消息钩子和CBT消息钩子。6.一种计算机可读存储介质,其上存储有计算...
【专利技术属性】
技术研发人员:许全聪,申强,吴少华,黄志炜,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。