本发明专利技术的实施例公开一种防止进程暂停的方法、装置及电子设备,涉及安全防护技术领域,能够保护应用程序的正常运行。所述防止进程暂停的方法,包括:根据对进程挂起函数的调用的监视,获取待挂起进程的标识信息,判断待挂起进程是否是要保护的进程,若是,则获取暂停所述待挂起进程的进程的标识信息,根据暂停所述待挂起进程的进程的标识信息,判断暂停所述待挂起进程的进程是否是目标应用程序的进程,若是,则拒绝挂起所述待挂起进程。所述装置和电子设备中包括实现上述方法步骤的模块。本发明专利技术适用于对应用程序尤其是对安全类应用程序的保护。
【技术实现步骤摘要】
本专利技术涉及安全防护
,尤其涉及一种防止进程暂停的方法、装置及电子设备。
技术介绍
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。安全应用程序或称为安全软件,都能保护常规的结束进程,但是系统内核提供了NtSuspendProcess函数,用于暂停某个进程的运行,此时虽然此进程未被结束,但是已经被挂起,不能处理任何数据,恶意应用程序或称为恶意软件可以采用此方法暂停某个进程,进行破坏,特别是暂停安全软件的进程,使得安全软件不能正常工作,从而破坏系统。
技术实现思路
有鉴于此,本专利技术实施例提供一种防止进程暂停的方法、装置及电子设备,能够保护应用程序的正常运行。第一方面,本专利技术实施例提供一种防止进程暂停的方法,包括:对操作系统的进程挂起函数的调用进行监视;根据所述监视,获取待挂起进程的标识信息;根据所述待挂起进程的标识信息,判断所述待挂起进程是否是要保护的进程;若所述待挂起进程是要保护的进程,则获取此次暂停所述待挂起进程的进程的标识信息;根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程;若此次暂停所述待挂起进程的进程是目标应用程序的进程,则拒绝挂起所述待挂起进程。结合第一方面,在第一方面的第一种可实施方式中,所述操作系统为Windows操作系统;所述操作系统的进程挂起函数为操作系统内核层的NtSuspendProcess函数;其中,所述对操作系统的进程挂起函数的调用进行监视,包括:通过预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视。结合第一方面的第一种可实施方式,在第一方面的第二种可实施方式中,所述通过预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视,包括:通过安全防护类应用程序的防御驱动程序中预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视。结合第一方面至第一方面的第二种可实施方式中的任一种可实施方式,在第一方面的第三种可实施方式中,所述根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程,包括:根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程的标识信息与特征库中保存的标识信息是否匹配,若此次暂停所述待挂起进程的进程的标识信息与特征库中保存的至少一个标识信息相匹配,则确定此次暂停所述待挂起进程的进程是目标应用程序的进程;其中,所述特征库中保存有目标应用程序的标识信息。第二方面,本专利技术实施例提供一种防止进程暂停的装置,包括:监视模块,用于对操作系统的进程挂起函数的调用进行监视;第一获取模块,用于根据所述监视,获取待挂起进程的标识信息;第一判断模块,用于根据所述待挂起进程的标识信息,判断所述待挂起进程是否是要保护的进程;第二获取模块,用于若所述待挂起进程是要保护的进程,则获取此次暂停所述待挂起进程的进程的标识信息;第二判断模块,用于根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程;拒绝挂起模块,用于若此次暂停所述待挂起进程的进程是目标应用程序的进程,则拒绝挂起所述待挂起进程。结合第二方面,在第二方面的第一种可实施方式中,所述操作系统为Windows操作系统;所述操作系统的进程挂起函数为操作系统内核层的NtSuspendProcess函数;其中,所述监视模块,用于通过预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视。结合第二方面的第一种可实施方式,在第二方面的第二种可实施方式中,所述监视模块,用于通过安全防护类应用程序的防御驱动程序中预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视。结合第二方面至第二方面的第二种可实施方式中的任一种可实施方式,在第二方面的第三种可实施方式中,所述第二判断模块,包括:判断子模块,用于根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程的标识信息与特征库中保存的标识信息是否匹配;确定子模块,用于根据所述判断子模块的判断,若此次暂停所述待挂起进程的进程的标识信息与特征库中保存的至少一个标识信息相匹配,则确定此次暂停所述待挂起进程的进程是目标应用程序的进程;其中,所述特征库中保存有目标应用程序的标识信息。第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施方式所述的防止进程暂停的方法。本专利技术实施例提供的防止进程暂停的方法、装置及电子设备,通过对操作系统的进程挂起函数的调用进行监视,根据所述监视,当有应用程序的进程调用所述进程挂起函数时,获取待挂起进程的标识信息,根据所述待挂起进程的标识信息,判断所述待挂起进程是否是要保护的进程,若所述待挂起进程是要保护的进程,则进一步获取此次暂停所述待挂起进程的进程的标识信息,根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程,若此次暂停所述待挂起进程的进程是目标应用程序的进程,则拒绝挂起所述待挂起进程,由此能够保护应用程序的正常运行,防止其进程被恶意应用程序暂停。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术防止进程暂停的方法实施例一的流程示意图;图2为本专利技术防止进程暂停的方法实施例二的流程示意图;图3为本专利技术防止进程暂停的装置实施例一的结构示意图;图4为本专利技术防止进程暂停的装置实施例二的结构示意图;图5为本专利技术电子设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。图1为本专利技术防止进程暂停的方法实施例一的流程示意图。参看图1,本专利技术防止进程暂停的方法实施例,包括如下步骤:S101、对操作系统的进程挂起函数的调用进行监视。操作系统提供了进程挂起函数。恶意应用程序的进程通过调用所述进程挂起函数可将一应用程序如安全应用程序的进程挂起,即暂停该应用程序的进程的运行。本实施例通过对所述进程本文档来自技高网...
【技术保护点】
一种防止进程暂停的方法,其特征在于,包括:对操作系统的进程挂起函数的调用进行监视;根据所述监视,获取待挂起进程的标识信息;根据所述待挂起进程的标识信息,判断所述待挂起进程是否是要保护的进程;若所述待挂起进程是要保护的进程,则获取此次暂停所述待挂起进程的进程的标识信息;根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程;若此次暂停所述待挂起进程的进程是目标应用程序的进程,则拒绝挂起所述待挂起进程。
【技术特征摘要】
1.一种防止进程暂停的方法,其特征在于,包括:对操作系统的进程挂起函数的调用进行监视;根据所述监视,获取待挂起进程的标识信息;根据所述待挂起进程的标识信息,判断所述待挂起进程是否是要保护的进程;若所述待挂起进程是要保护的进程,则获取此次暂停所述待挂起进程的进程的标识信息;根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程;若此次暂停所述待挂起进程的进程是目标应用程序的进程,则拒绝挂起所述待挂起进程。2.根据权利要求1所述的防止进程暂停的方法,其特征在于,所述操作系统为Windows操作系统;所述操作系统的进程挂起函数为操作系统内核层的NtSuspendProcess函数;其中,所述对操作系统的进程挂起函数的调用进行监视,包括:通过预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视。3.根据权利要求2所述的防止进程暂停的方法,其特征在于,所述通过预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视,包括:通过安全防护类应用程序的防御驱动程序中预先设置的钩子函数,对操作系统内核层的NtSuspendProcess函数的调用进行监视。4.根据权利要求1至3任一项所述的防止进程暂停的方法,其特征在于,
\t所述根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程是否是目标应用程序的进程,包括:根据此次暂停所述待挂起进程的进程的标识信息,判断此次暂停所述待挂起进程的进程的标识信息与特征库中保存的标识信息是否匹配,若此次暂停所述待挂起进程的进程的标识信息与特征库中保存的至少一个标识信息相匹配,则确定此次暂停所述待挂起进程的进程是目标应用程序的进程;其中,所述特征库中保存有目标应用程序的标识信息。5.一种防止进程暂停的装置,其特征在于,包括:监视模块,用于对操作系统的进程挂起函数的调用进行监视;第一获取模块,用于根据所述监视,获取待挂起进程的标识信息;第一...
【专利技术属性】
技术研发人员:杨峰,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。