用户层实现进程保护的方法技术

本申请涉及一种用户层实现进程保护的方法

【技术实现步骤摘要】
用户层实现进程保护的方法、装置、存储介质及电子设备


[0001]本申请涉及进程保护
，具体涉及一种用户层实现进程保护的方法
、
装置
、
存储介质及电子设备
。

技术介绍

[0002]终端安全类产品对终端操作系统的安全起到加固的作用，凭其强大的保护能力，受到许多用户的青睐
。
虽然此类产品对操作系统提供了强大的保护机制，但其自身应用进程却面临着诸多威胁，因此如何进行有效的进程保护，成为亟待解决的问题
。
[0003]相关技术中，进程保护具有两方面：防杀和防删除
、
篡改
、
重命名
。
两者统一且缺一不可；但从功能设计和实现的角度来看，两者功能是各自独立的，需要不同的技术来实现，一个是进程保护，一个是文件保护
。
现有的进程保护通常基于系统底层驱动的相关技术，
HOOK
底层系统接口方式来实现，对于
Linux
平台而言，一旦底层内核版本更新，系统底层驱动需要重新进行开发和适配，导致兼容性较差
。

技术实现思路

[0004]为了在进程保护时改善兼容性，本申请提供一种用户层实现进程保护的方法
、
装置
、
存储介质及电子设备
。
[0005]在本申请的第一方面提供了一种用户层实现进程保护的方法，具体包括：通过
HOOK
第一用户层系统接口确定第一应用进程是否存在第一操作，所述第一应用进程为威胁受保护进程稳定运行的应用进程，所述第一操作为结束第二应用进程，所述第一用户层系统接口为应用进程间传递进程结束信号的接口；若存在，在所述第二应用进程为所述受保护进程且所述第一操作为非法结束第二应用进程时，则通过所述第一用户层系统接口返回拒绝操作信息；若不存在，则通过
HOOK
第二用户层系统接口确定所述第一应用进程是否对目标文件进行第二操作，所述目标文件为包含应用进程的文件，所述第二操作为重命名操作
、
删除操作以及篡改操作其中一个；若对所述目标文件进行第二操作，则获取第二操作的绝对路径名称，在所述绝对路径名称与所述受保护进程的路径名称一致且所述第一应用进程不为所述受保护进程时，通过所述第二用户层系统接口返回拒绝操作信息
。
[0006]通过采用上述技术方案，利用
HOOK
监视第一用户层系统接口，如果确定第一应用进程存在结束其他应用进程，即，第二应用进程的操作，进一步地，如果第一应用进程非法结束的第二应用进程为受保护进程，受保护进程稳定运行受到威胁，那么通过此第一用户层系统接口返回拒绝操作信息拒绝执行第一操作；如果不存在第一操作，那么
HOOK
监视第二用户层系统接口，如果确定第一应用正在对目标文件进行第二操作，并且第二操作的绝对路径和受保护进程的路径相同，并且第一应用进程不为受保护进程，说明第一应用进程正在对受保护进程所在的文件进行非法的第二操作，那么返回拒绝操作信息拒绝执行第二
操作，从而通过
hook
用户层系统接口实现进程保护的目的，无需依赖系统的底层内核版本，兼容性得到改善
。
[0007]可选的，所述通过
HOOK
第一用户层系统接口确定第一应用进程是否存在第一操作，具体包括：
HOOK Linux
操作系统的系统
kill
接口；若获取到由第一应用进程发出的结束进程信号，则确定所述第一应用进程存在第一操作；若未获取到由第一应用进程发出的结束进程信号，则确定所述第一应用进程不存在第一操作
。
[0008]通过采用上述技术方案，
HOOK Linux
操作系统的系统
kill
接口时，如果获取到第一应用进程发出的结束进程信号，说明第一应用进程正在结束其他应用进程；反之，说明第一应用进程没有结束其他应用进程的操作，从而较为准确地监控到第一应用进程结束其他进程的动作
。
[0009]可选的，所述若存在，在所述第二应用进程为所述受保护进程且所述第一操作为非法结束第二应用进程时，则通过所述第一用户层系统接口返回拒绝操作信息，具体包括：若存在，则通过
HOOK Linux
操作系统的系统
kill
接口获取所述第二应用进程的进程标识，以及由所述第一应用进程发出的结束进程信号的
SIG
值；根据所述
SIG
值确定所述结束进程信号是否为无法屏蔽信号；若是，则确定所述第一操作属于为非法结束第二应用进程，并根据所述进程标识确定结束进程名称，若所述结束进程名称与所述受保护进程的名称一致，则确定所述第二应用进程为所述受保护进程；在所述第二应用进程为所述受保护进程且所述第一操作为非法结束第二应用进程时，通过所述系统
kill
接口返回
EPERM
值
。
[0010]通过采用上述技术方案，如果根据结束进程信号的
SIG
值确定结束进程信号为无法屏蔽信号，说明第一应用进程结束第二应用进程为非法结束，接着如果被结束的第二应用进程的进程名称与受保护进程的名称相同，可以确定第一应用进程正在非法结束受保护进程，需要进行进程保护
。
最后通过系统
kill
接口返回
EPERM
值，拒绝执行第一操作，从而到达受保护进程防杀的效果
。
[0011]可选的，所述根据所述
SIG
值确定所述结束进程信号是否为无法屏蔽信号之前，还包括：调用
sigprocmask
接口，对发送至所述受保护进程的系统默认信号进行屏蔽
。
[0012]通过采用上述技术方案，基于
sigprocmask
接口，可以屏蔽所有发送至受保护进程的系统默认信号进行屏蔽，从而较好地避免受保护进程接收到系统默认信号，进行默认处理方式，即，受保护进程被停止，进而有助于达到进程防被杀的效果
。
[0013]可选的，所述若对所述目标文件进行第二操作，则获取第二操作的绝对路径名称，在所述绝对路径名称与所述受保护进程的路径名称一致且所述第一应用进程不为所述受保护进程时，通过所述第二用户层系统接口返回拒绝操作信息，具体包括：若对所述目标文件进行删除操作，则通过
HOOK Linux
操作系统的
unlink
调用接口
、unlinkat
调用接口以及
remove
调用接口，获取删除操作对应的删除绝对路径名称；
若所述删除绝对路径名称与所述受保护进程的路径名称一致，且所述第一应用进程不为所述受保护进程，则通过所述
unlink
调用接口
、
所述
unlinkat
调用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种用户层实现进程保护的方法，其特征在于，所述方法包括：通过
HOOK
第一用户层系统接口确定第一应用进程是否存在第一操作，所述第一应用进程为威胁受保护进程稳定运行的应用进程，所述第一操作为结束第二应用进程，所述第一用户层系统接口为应用进程间传递进程结束信号的接口；若存在，在所述第二应用进程为所述受保护进程且所述第一操作为非法结束第二应用进程时，则通过所述第一用户层系统接口返回拒绝操作信息；若不存在，则通过
HOOK
第二用户层系统接口确定所述第一应用进程是否对目标文件进行第二操作，所述目标文件为包含应用进程的文件，所述第二操作为重命名操作
、
删除操作以及篡改操作其中一个，所述第二用户层系统接口为实现所述第二操作的系统调用；若对所述目标文件进行第二操作，则获取第二操作的绝对路径名称，在所述绝对路径名称与所述受保护进程的路径名称一致且所述第一应用进程不为所述受保护进程时，通过所述第二用户层系统接口返回拒绝操作信息
。2.
根据权利要求1所述的用户层实现进程保护的方法，其特征在于，所述通过
HOOK
第一用户层系统接口确定第一应用进程是否存在第一操作，具体包括：
HOOK Linux
操作系统的系统
kill
接口；若获取到由第一应用进程发出的结束进程信号，则确定所述第一应用进程存在第一操作；若未获取到由第一应用进程发出的结束进程信号，则确定所述第一应用进程不存在第一操作
。3.
根据权利要求1所述的用户层实现进程保护的方法，其特征在于，所述若存在，在所述第二应用进程为所述受保护进程且所述第一操作为非法结束第二应用进程时，则通过所述第一用户层系统接口返回拒绝操作信息，具体包括：若存在，则通过
HOOK Linux
操作系统的系统
kill
接口获取所述第二应用进程的进程标识，以及由所述第一应用进程发出的结束进程信号的
SIG
值；根据所述
SIG
值确定所述结束进程信号是否为无法屏蔽信号；若是，则确定所述第一操作为非法结束第二应用进程，并根据所述进程标识确定结束进程名称，若所述结束进程名称与所述受保护进程的名称一致，则确定所述第二应用进程为所述受保护进程；在所述第二应用进程为所述受保护进程且所述第一操作为非法结束第二应用进程时，通过所述系统
kill
接口返回
EPERM
值
。4.
根据权利要求3所述的用户层实现进程保护的方法，其特征在于，所述根据所述
SIG
值确定所述结束进程信号是否为无法屏蔽信号之前，还包括：调用
sigprocmask
接口，对发送至所述受保护进程的系统默认信号进行屏蔽
。5.
根据权利要求1所述的用户层实现进程保护的方法，其特征在于，所述若对所述目标文件进行第二操作，则获取第二操作的绝对路径名称，在所述绝对路径名称与所述受保护进程的路径名称一致且所述第一应用进程不为所述受保护进程时，通过所述第二用户层系统接口返回拒绝操作信息，具体包括：若对所述目标文件进行删除操作，则通过
HOOK Linux
操作系统的
unlink
调用接口
、unlinkat
调用接口以及
remove
调用接口，获取删除操作对应的删除绝对路径名称；
若所述删除绝对路径名称与所述受保护进程的路径名称一致，且所述第一应用进程不为所述受保护进程，则通过所述
unlink
调用接口
、
所述

【专利技术属性】
技术研发人员：袁志勇，辛锐，
申请(专利权)人：北京万里红科技有限公司，
类型：发明
国别省市：