本发明专利技术提供了一种隐藏进程检测方法、装置、计算机设备和可读存储介质。该隐藏进程检测方法包括:查看系统进程列表,得到第一进程组;获取CPU上将要运行的线程;确定所述线程对应的进程,得到第二进程组;以及比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程。通过本发明专利技术,能够提升检测隐藏进程的能力,降低漏检率。降低漏检率。降低漏检率。
【技术实现步骤摘要】
隐藏进程检测方法、装置、计算机设备和可读存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种隐藏进程检测方法、装置、计算机设备和可读存储介质。
技术介绍
[0002]随着手机、个人电脑以及可穿戴智能终端等网络终端设备在生活和工作中的日益普及,如何保障信息安全也成为当前首要解决的安全问题。其中,一些病毒或黑客的恶意进程由于不想被发现,会在系统中隐藏运行,从而在进程管理器里看不到这些进程,使得系统安全性降低。
[0003]为了解决上述问题,现有技术提出对隐藏进程进行检测,具体地,一方面通过用PspCidTable枚举进程,另一方面用ZwQuerySystemInformation获取系统进程,将枚举的进程与获取的系统进程进行对比,如果发现进程存在于枚举进程中,而获取到的系统进程中没有,则判定该进程为隐藏进程。
[0004]但是,专利技术人研究发现,这种方法虽然可以检测出通过进程链表和HOOK系统API的方式隐藏的进程,但当恶意程序把PspCidTable也擦除时,通过这种方法就无法检测出进程的隐藏。
[0005]因此,如何提升检测隐藏进程的能力,减少漏检,成为本领域亟需解决的技术问题。
技术实现思路
[0006]本专利技术的目的是提供一种隐藏进程检测方法、装置、计算机设备和可读存储介质,用于解决现有技术中的上述技术问题。
[0007]一方面,为实现上述目的,本专利技术提供了一种隐藏进程检测方法。
[0008]该隐藏进程检测方法包括:查看系统进程列表,得到第一进程组;获取CPU上将要运行的线程;确定所述线程对应的进程,得到第二进程组;以及比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程。
[0009]进一步地,获取CPU上将要运行的线程包括:解析CPU调度中的内核处理器控制块,得到CPU的就绪队列、等待队列和延迟就绪队列;分别确定所述就绪队列、所述等待队列、所述延迟就绪队列的线程,得到所述CPU上将要运行的线程。
[0010]进一步地,解析CPU调度中的内核处理器控制块,得到CPU的就绪队列、等待队列和延迟就绪队列包括:通过PKPCR函数和PKPRCB函数获取所述内核处理器控制块,通过偏移获取所述就绪队列、所述等待队列和所述延迟就绪队列的地址;分别确定所述就绪队列、所述等待队列、所述延迟就绪队列的线程包括:遍历所述就绪队列、所述等待队列和所述延迟就绪队列,获取若干线程结构体;确定所述线程对应的进程,得到第二进程组包括:从各所述线程结构体的ApcState获取进程结构体,得到所述第二进程组。
[0011]进一步地,该方法还包括:启动隐藏进程的检测线程,其中,所述检测线程用于查
看系统进程列表,得到第一进程组,获取CPU上将要运行的线程,确定所述线程对应的进程,得到第二进程组,比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程;将所述检测线程的等级提高到调度级别。
[0012]进一步地,比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程包括:确定所述第一进程组和所述第二进程组中各进程的CR3值;将所述第一进程组中进程的CR3值与所述第二进程组中进程的CR3值进行匹配;当所述第二进程组中第一进程的CR3值与所述第二进程组中各进程的CR3值均不相同时,确定所述第一进程为所述隐藏进程。
[0013]另一方面,为实现上述目的,本专利技术提供了一种隐藏进程检测装置。
[0014]该隐藏进程检测装置包括:查看模块,用于查看系统进程列表,得到第一进程组;获取模块,用于获取CPU上将要运行的线程;确定模块,用于确定所述线程对应的进程,得到第二进程组;以及比对模块,用于比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程。
[0015]进一步地,所述获取模块包括:解析单元,用于解析CPU调度中的内核处理器控制块,得到CPU的就绪队列、等待队列和延迟就绪队列;第一确定单元,用于分别确定所述就绪队列、所述等待队列、所述延迟就绪队列的线程,得到所述CPU上将要运行的线程。
[0016]进一步地,隐藏进程检测装置还包括:启动模块,用于启动隐藏进程的检测线程,其中,所述检测线程用于查看系统进程列表,得到第一进程组,获取CPU上将要运行的线程,确定所述线程对应的进程,得到第二进程组,比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程;调整模块,用于将所述检测线程的等级提高到调度级别。
[0017]为实现上述目的,本专利技术还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
[0018]为实现上述目的,本专利技术还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
[0019]本专利技术提供的隐藏进程检测方法、装置、计算机设备和可读存储介质,查看系统进程列表的进程,通过获取CPU上要运行的线程确定要参与CPU调度的进程,然后将系统进程列表与要参与CPU调度的进程进行比对,如果要参与CPU调度的进程在系统进程列表中不存在,那么即可确定该进程为隐藏进程。通过本专利技术,对于恶意进程,即使其在系统进程列表中隐藏,或者将PspCidTable擦除,只要其欲参与CPU调度,均可被检测识别,与现有技术中基于PspCidTable确定隐藏进程相比,能够提升检测隐藏进程的能力,降低漏检。
附图说明
[0020]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0021]图1为本专利技术实施例一提供的隐藏进程检测方法;
[0022]图2为本专利技术实施例二提供的隐藏进程检测方法;
[0023]图3为本专利技术实施例二提供的隐藏进程检测方法封装示意图;
[0024]图4为本专利技术实施例三提供的隐藏进程检测装置;以及
[0025]图5为本专利技术实施例四提供的计算机设备的硬件结构图。
具体实施方式
[0026]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0027]为了提升检测隐藏进程的能力,减少隐藏进程漏检,专利技术人进行了如下研究:恶意进程为了达到隐藏的目的,首先会擦除系统进程列表,从而在监控系统进程列表时,无法获得恶意进程,但是,恶意程序总要参与CP本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种隐藏进程检测方法,其特征在于,包括:查看系统进程列表,得到第一进程组;获取CPU上将要运行的线程;确定所述线程对应的进程,得到第二进程组;以及比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程。2.根据权利要求1所述的隐藏进程检测方法,其特征在于,获取CPU上将要运行的线程包括:解析CPU调度中的内核处理器控制块,得到CPU的就绪队列、等待队列和延迟就绪队列;分别确定所述就绪队列、所述等待队列、所述延迟就绪队列的线程,得到所述CPU上将要运行的线程。3.根据权利要求2所述的隐藏进程检测方法,其特征在于,解析CPU调度中的内核处理器控制块,得到CPU的就绪队列、等待队列和延迟就绪队列包括:通过PKPCR函数和PKPRCB函数获取所述内核处理器控制块,通过偏移获取所述就绪队列、所述等待队列和所述延迟就绪队列的地址;分别确定所述就绪队列、所述等待队列、所述延迟就绪队列的线程包括:遍历所述就绪队列、所述等待队列和所述延迟就绪队列,获取若干线程结构体;确定所述线程对应的进程,得到第二进程组包括:从各所述线程结构体的ApcState获取进程结构体,得到所述第二进程组。4.根据权利要求1所述的隐藏进程检测方法,其特征在于,还包括:启动隐藏进程的检测线程,其中,所述检测线程用于查看系统进程列表,得到第一进程组,获取CPU上将要运行的线程,确定所述线程对应的进程,得到第二进程组,比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程;将所述检测线程的等级提高到调度级别。5.根据权利要求1所述的隐藏进程检测方法,其特征在于,比对所述第一进程组和所述第二进程组,确定所述第二进程组中存在且所述第一进程组中不存在的进程为隐藏进程包括:确定所...
【专利技术属性】
技术研发人员:罗世谦,杨晓东,
申请(专利权)人:奇安信安全技术珠海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。