利用提权漏洞的程序的确定方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种利用提权漏洞的程序的确定方法，属于计算机技术领域。所述方法包括：从进程创建组件获取目标进程的进程标识；在对目标进程进行监控的过程中，通过目标进程的进程标识以及第一回调函数，从系统内核获取目标进程的第一权限等级；获取第二权限等级；当第一权限等级高于第二权限等级时，将目标进程对应的程序获取为利用提权漏洞的程序。本申请从进程创建组件获取目标进程的进程标识，根据进程标识从系统内核获取目标进程的权限等级，通过先后两次获取到的权限等级确定目标进程对应的程序是否利用了提权漏洞，该过程不需要监控系统中的各种提权行为，而是从进程的权限变化判断哪些进程利用了提权漏洞，提高检测的准确性和检测效率。

Determination method, device, equipment and storage medium of the program using the right raising vulnerability

【技术实现步骤摘要】
利用提权漏洞的程序的确定方法、装置、设备及存储介质
本申请涉及计算机
，特别涉及一种利用提权漏洞的程序的确定方法、装置、设备及存储介质。
技术介绍
随着计算机领域的发展，终端中的应用程序种类越来越多，伴随这些应用程序的使用，终端中存储的用户数据也越来越多，这些数据一旦被泄露，可能对用户带来极大损失，应用程序的安全问题一直被用户关注。例如，在网络环境中，存在一种利用提权漏洞窃取用户应用权限的恶意程序，该类恶意程序可以将自身的应用权限提升至系统权限甚至更高，从而使得自身可以获取用户数据、删除系统文件、修改系统配置等。在相关技术中，对于这类程序的检测，是通过终端中的驱动程序监控当前操作系统的重要操作，如：删除系统文件、修改防火墙设置、添加系统账户等等，如果通过该驱动程序监控发现发起这些操作的进程不在操作系统的白名单中时，则认为是可疑程序进行的可疑操作，进而转给人工分析。相关技术中，较为依赖驱动程序监控策略的完整性，驱动程序监控的重要操作并不能覆盖所有可能的重要操作，并且，当驱动程序监控的重要操作过多时，也会降低终端的系统性能，从而影响对利用提权漏洞的恶意程序进行检测的准确性和检测效率。
技术实现思路
本申请实施例提供了一种利用提权漏洞的程序的确定方法、装置、设备以及存储介质，可以提高对利用提权漏洞的程序进行检测的准确性和检测效率。所述技术方案如下：一方面，本申请实施例提供了一种利用提权漏洞的程序的确定方法，所述方法包括：从进程创建组件获取目标进程的进程标识，所述进程创建组件用于创建新进程；在对所述目标进程进行监控的过程中，通过所述目标进程的进程标识以及第一回调函数，从操作系统内核获取所述目标进程的第一权限等级，所述第一权限等级是本次获取的所述目标进程的权限等级；获取所述目标进程的第二权限等级，所述第二权限等级是上一次获取的所述目标进程的权限等级；当所述第一权限等级高于所述第二权限等级时，将所述目标进程对应的程序确定为利用提权漏洞的程序。另一方面，本申请实施例提供了一种利用提权漏洞的程序的确定装置，所述装置包括：进程标识获取模块，用于从进程创建组件获取目标进程的进程标识，所述进程创建组件用于创建新进程；第一权限等级获取模块，用于在对所述目标进程进行监控的过程中，通过所述目标进程的进程标识以及第一回调函数，从操作系统内核获取所述目标进程的第一权限等级，所述第一权限等级是本次获取的所述目标进程的权限等级；第二权限等级获取模块，用于获取所述目标进程的第二权限等级，所述第二权限等级是上一次获取的所述目标进程的权限等级；第一程序确定模块，用于当所述第一权限等级高于所述第二权限等级时，将所述目标进程对应的程序确定为利用提权漏洞的程序。可选的，所述第一权限等级获取模块，包括：内核进程块获取单元，授权令牌获取单元，令牌等级值获取单元以及第一权限等级获取单元；所述内核进程块获取单元，用于根据所述目标进程的进程标识，获取所述目标进程的内核进程块；所述授权令牌获取单元，用于根据所述内核进程块，获取所述目标进程的授权令牌；所述令牌等级值获取单元，用于根据所述目标进程的授权令牌和系统宏参数，获取所述目标进程的令牌等级值；所述系统宏参数是获取所述令牌等级值时，所述第一回调函数采用的令牌等级参数；所述第一权限等级获取单元，用于将所述目标进程的令牌等级值对应的权限等级获取为所述目标进程的第一权限等级。可选的，所述装置还包括：回调函数注册模块，用于所述进程标识获取模块从进程创建组件获取目标进程的进程标识之前，向所述进程创建组件注册第二回调函数；所述进程标识获取模块，用于接收所述进程创建组件创建所述目标进程时，通过所述第二回调函数返回的所述目标进程的进程标识。可选的，所述装置还包括：第三权限等级获取模块，用于在所述进程标识获取模块接收到所述进程创建组件返回的所述目标进程的进程标识时，若所述目标进程的父进程属于被监控的进程，则通过所述父进程的进程标识以及所述第一回调函数，从所述操作系统内核获取所述父进程的第三权限等级；所述第三权限等级是本次获取的所述父进程的权限等级；第四权限等级获取模块，用于获取所述父进程的第四权限等级，所述第四权限等级是上一次获取的所述父进程的权限等级；第二程序确定模块，用于当所述第三权限等级高于所述第四权限等级时，将所述父进程对应的程序确定为利用提权漏洞的程序。可选的，所述装置还包括：初始权限等级获取模块，用于在对所述目标进程进行监控之前，通过所述目标进程的进程标识以及所述第一回调函数，从所述操作系统内核获取所述目标进程的初始权限等级；监控模块，用于当所述目标进程的初始权限等级低于预设权限等级时，执行所述对所述目标进程进行监控的步骤。可选的，所述装置还包括：第五权限等级获取模块，用于若所述目标进程的父进程属于被监控的进程，则获取第五权限等级，所述第五权限等级是所述父进程的权限等级；第三程序确定模块，用于当所述第五权限等级低于所述目标进程的初始权限等级时，将所述父进程对应的程序确定为利用提权漏洞的程序。可选的，所述预设权限等级是系统权限对应的权限等级。又一方面，本申请实施例还提供了一种计算机设备，所述计算机设备包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述的利用提权漏洞的程序的确定方法。又一方面，本申请实施例还提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述的利用提权漏洞的程序的确定方法。本申请实施例提供的技术方案带来的有益效果至少包括：从进程创建组件获取目标进程的进程标识，进程创建组件用于创建新进程；在对目标进程进行监控的过程中，通过目标进程的进程标识以及第一回调函数，从系统内核获取目标进程的第一权限等级；获取第二权限等级，第二权限等级是上一次获取的、目标进程的权限等级；当第一权限等级高于第二权限等级时，将目标进程对应的程序获取为利用提权漏洞的程序。本申请通过从进程创建组件获取目标进程的进程标识，根据进程标识从系统内核获取目标进程的权限等级，通过先后两次获取到的权限等级确定目标进程对应的程序是否利用了提权漏洞，该过程不需要监控系统中的各种提权行为，而是从进程的权限变化判断哪些进程利用了提权漏洞，提高了对利用提权漏洞的程序进行检测的准确性和检测效率。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附本文档来自技高网...

【技术保护点】
1.一种利用提权漏洞的程序的确定方法，其特征在于，所述方法包括：/n从进程创建组件获取目标进程的进程标识，所述进程创建组件用于创建新进程；/n在对所述目标进程进行监控的过程中，通过所述目标进程的进程标识以及第一回调函数，从操作系统内核获取所述目标进程的第一权限等级，所述第一权限等级是本次获取的所述目标进程的权限等级；/n获取所述目标进程的第二权限等级，所述第二权限等级是上一次获取的所述目标进程的权限等级；/n当所述第一权限等级高于所述第二权限等级时，将所述目标进程对应的程序确定为利用提权漏洞的程序。/n

【技术特征摘要】
1.一种利用提权漏洞的程序的确定方法，其特征在于，所述方法包括：
从进程创建组件获取目标进程的进程标识，所述进程创建组件用于创建新进程；
在对所述目标进程进行监控的过程中，通过所述目标进程的进程标识以及第一回调函数，从操作系统内核获取所述目标进程的第一权限等级，所述第一权限等级是本次获取的所述目标进程的权限等级；
获取所述目标进程的第二权限等级，所述第二权限等级是上一次获取的所述目标进程的权限等级；
当所述第一权限等级高于所述第二权限等级时，将所述目标进程对应的程序确定为利用提权漏洞的程序。


2.根据权利要求1所述的方法，其特征在于，所述通过所述目标进程的进程标识以及第一回调函数，从操作系统内核获取所述目标进程的第一权限等级，包括：
根据所述目标进程的进程标识，从所述操作系统内核获取所述目标进程的内核进程块；
根据所述内核进程块获取所述目标进程的授权令牌；
根据所述目标进程的授权令牌和系统宏参数，从所述操作系统内核获取所述目标进程的令牌等级值；所述系统宏参数是获取所述令牌等级值时，所述第一回调函数采用的令牌等级参数；
将所述目标进程的令牌等级值对应的权限等级获取为所述目标进程的第一权限等级。


3.根据权利要求1所述的方法，其特征在于，所述从进程创建组件获取目标进程的进程标识之前，还包括：
向所述进程创建组件注册第二回调函数；
所述从进程创建组件获取目标进程的进程标识，包括：
接收所述进程创建组件创建所述目标进程时，通过所述第二回调函数返回的所述目标进程的进程标识。


4.根据权利要求3所述的方法，其特征在于，所述方法还包括：
在接收到所述进程创建组件返回的所述目标进程的进程标识时，若所述目标进程的父进程属于被监控的进程，则通过所述父进程的进程标识以及所述第一回调函数，从所述操作系统内核获取所述父进程的第三权限等级；所述第三权限等级是本次获取的所述父进程的权限等级；
获取所述父进程的第四权限等级，所述第四权限等级是上一次获取的所述父进程的权限等级；
当所述第三权限等级高于所述第四权限等级时，将所述父进程对应的程序确定为所述利用提权漏洞的程序。


5.根据权利要求1所述的方法，其特征在于，所述方法还包括：
在对所述目标进程进行监控之前，通过所述目标进程的进程标识以及所述第一回调函数，从所述操作系统内核获取所述目标进程的初始权限等级；
当所述目标进程的初始权限等级低于预设权限等级时，执行所述对所述目标进程进行监控的步骤。


6.根据权利要求5所述的方法，其特征在于，所述方法还包括：
若所述目标进程的父进程属于被监控的进程，则获取第五权限等级，所述第五权限等级是所述父进程的权限等级；
当所述第五权限等级低于所述目标进程的初始权限等级时，将所述父进程对应的程序确定为所述利用提权漏洞的程序。


7.根据权利要求1至6任一所述的方法，其特征在于，所述预设权限等级是系统权限对应的权限等级。


8.一种利用提权漏洞的程序的确定装置，其特征在于，所述装置包括：
进程标识获取模块，用于从进程创建组件获取目标进程的进程标识，所述进程创建组件用于创建新进程；
第一权限等级获取模块，用于在对所述目标进程进行监控的过程中，通过所述目标进程的进程标识以及第一回调函数，从操作系统内核获取所述目标进程的第一权限等级，所述第一权限等级是本次获取的所述目标进程的权限等级；
第二权限等级获取模块，用于获取所述目标进程的第二权限等级，所述第二权限等级是上一次获取的所述目标进程的权限等级；

【专利技术属性】
技术研发人员：曹有理，许天胜，谭昱，杨耀荣，沈江波，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44