【技术实现步骤摘要】
本申请实施例涉及恶意软件监测领域,具体涉及一种获取进程链的方法、装置、设备及介质。
技术介绍
1、在当今的网络安全领域,恶意软件正变得日益复杂。恶意软件通常利用远程过程调用(rpc)、窗口消息等机制来实施“进程断链”攻击,通过这种方法,恶意程序能够操控并利用系统中的合法程序执行威胁行为,同时避免被安全软件检测到。相关技术中,直接通过对恶意软件的特征检测来确定恶意软件的攻击过程,但是一旦恶意软件隐藏特征,那么就不能够对其进行检测,导致系统的安全性降低。
2、因此,如何进一步的提高系统的安全性成为需要解决的问题。
技术实现思路
1、本申请实施例提供一种获取进程链的方法、装置、设备及介质,通过本申请的一些实施例至少能够在监测到断链操作的情况下,将断链的进程与文件关联起来,还原完整的进程链,从而提高系统的安全性。
2、第一方面,本申请提供了一种获得进程链的方法,所述方法包括:监控各系统进程所释放的可执行文件的信息,其中,所述可执行文件的信息用于确定所述可执行文件的创建者;在所述可执行文件被其他进程所执行时,确定所述可执行文件被用于断链操作,则将所述可执行文件与所述创建者进行关联;根据关联的所述可执行文件和所述创建者获得目标进程链。
3、因此,与相关技术中直接通过对恶意软件的特征检测来确定恶意软件的攻击过程的技术方案不同的是,本申请实施例通过将断链的可执行文件的创建者与可执行文件进行关联,能够还原完整的进程链,从而达到还原恶意程序的完整生命周期的目的,进一
4、结合第一方面,在本申请的一种实施方式中,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:创建进程回调,其中,所述进程回调用于记录父子进程关系;通过所述进程回调和进程的rpc信息对系统管理接口服务进行溯源,获得与管理接口服务相应的来源进程;所述根据关联的所述可执行文件和所述创建者获得目标进程链,包括:根据关联的所述可执行文件、所述创建者以及所述来源进程获得所述目标进程链。
5、因此,本申请实施例通过对系统管理接口服务进行溯源,能够确定管理接口服务相应的来源进程,从而实现对其监控。
6、结合第一方面,在本申请的一种实施方式中,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:在当前系统进程为持久化进程的情况下,通过注册表回调监控所述持久化进程,获得设置所述持久化进程的设置进程;所述根据关联的所述可执行文件和所述创建者获得目标进程链,包括:根据关联的所述可执行文件、所述创建者以及所述设置进程获得所述目标进程链。
7、因此,本申请实施例通过持久化进程进行监控,并且形成进程链,能够在恶意软件进攻时,获得其完整的进程链。
8、结合第一方面,在本申请的一种实施方式中,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:通过文件回调监测计划任务对文件的操作,并且记录相关线程的rpc信息,其中,所述计划任务是当前系统预先创建的,以使所述当前系统在固定时间执行所述计划任务;将所述相关线程的rpc信息上传到云端服务器,以使所述云端服务器获取所述计划任务的整体生命周期;所述根据关联的所述可执行文件和所述创建者获得目标进程链,包括:根据关联的所述可执行文件、所述创建者以及所述计划任务的整体生命周期获得所述目标进程链。
9、因此,本申请实施例通过监控计划任务对文件的操作,能够将其行为记录在进程链中,从而获得完整的进程链。
10、结合第一方面,在本申请的一种实施方式中,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:在监测到当前系统对资源管理器发送特定消息以创建进程的情况下,确定发送所述特定消息的进程;在发送所述特定消息的进程的生命周期中增加发送消息的进程;所述根据关联的所述可执行文件和所述创建者获得目标进程链,包括:根据关联的所述可执行文件、所述创建者以及所述发送消息的进程获得所述目标进程链。
11、因此,本申请实施例通过监控发送特定消息的进程,能够将其行为记录在进程链中,从而获得完整的进程链。
12、结合第一方面,在本申请的一种实施方式中,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:在监测到当前系统存在进程注入的行为,并且注入后可信进程执行了危险操作的情况下,将可信进程的生命周期中加入注入进程的信息;所述根据关联的所述可执行文件和所述创建者获得目标进程链,包括:根据关联的所述可执行文件、所述创建者以及所述可信进程的生命周期获得目标进程链。
13、因此,本申请实施例通过监控进程的注入行为,能够将其行为记录在进程链中,从而获得完整的进程链。
14、结合第一方面,在本申请的一种实施方式中,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之后,所述方法还包括:确认所述目标进程链中每一个进程的可信度,并且确认所述目标进程链的整体可信度,以使识别进程的行为是否发生在可信的进程链上。
15、因此,本申请实施例通过计算每一个进程以及进程链的可信度,能够确定当前的进程行为是否发生在可信的进程链上。
16、第二方面,本申请提供了一种获得进程链的装置,所述装置包括:监控模块,被配置为监控各系统进程所释放的可执行文件的信息,其中,所述可执行文件的信息用于确定所述可执行文件的创建者;关联模块,被配置为在所述可执行文件被其他进程所执行时,确定所述可执行文件被用于断链操作,则将所述可执行文件与所述创建者进行关联;获取模块,被配置为根据关联的所述可执行文件和所述创建者获得目标进程链。
17、结合第二方面,在本申请的一种实施方式中,所述监控模块还被配置为:创建进程回调,其中,所述进程回调用于记录父子进程关系;通过所述进程回调和进程的rpc信息对系统管理接口服务进行溯源,获得与管理接口服务相应的来源进程;所述获取模块还被配置为:根据关联的所述可执行文件、所述创建者以及所述来源进程获得所述目标进程链。
18、结合第二方面,在本申请的一种实施方式中,所述监控模块还被配置为:在当前系统进程为持久化进程的情况下,通过注册表回调监控所述持久化进程,获得设置所述持久化进程的设置进程;所述获取模块还被配置为:根据关联的所述可执行文件、所述创建者以及所述设置进程获得所述目标进程链。
19、结合第二方面,在本申请的一种实施方式中,所述监控模块还被配置为:通过文件回调监测计划任务对文件的操作,并且记录相关线程的rpc信息,其中,所述计划任务是当前系统预先创建的,以使所述当前系统在固定时间执行所述计划任务;将所述相关线程的rpc信息上传到云端服务器,以使所述云端服务器获取所述计划任务的整体生命周期;所述获取模块还被配置为:根据关联的所述可执行文件、所述创建者以及所述计划任务的整体生命周期获得所述目标进程链。
20、结合第二方面,在本申本文档来自技高网...
【技术保护点】
1.一种获得进程链的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之后,所述方法还包括:
8.一种获得进程链的装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现如权利要求1-7任一项所述方法。
...【技术特征摘要】
1.一种获得进程链的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,在所述根据关联的所述可执行文件和所述创建者获得目标进程链之前,所...
【专利技术属性】
技术研发人员:孙晓骏,覃梓兴,张苏洵,刘铠文,李宜檑,
申请(专利权)人:戎码科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。