开机过程的处理方法和系统技术方案

本发明专利技术实施例提供了一种开机过程的处理方法和系统，所述系统包括：进程信息获取模块，适于获取计算机开机过程中所加载的进程信息；匹配模块，适于将所述进程信息与计算机操作系统记录的启动项信息进行匹配，获得开机启动项所加载的程序文件；安全属性获取模块，适于获取所述程序文件的安全属性；启动项清理模块，适于依据所述程序文件的安全属性对相应的开机启动项进行清理；程序文件清理模块，适于依据程序文件的安全属性，以及预置的与所述安全属性相对应的程序清理策略，对各程序文件进行清理。本发明专利技术实施例可以避免开机时木马等恶意程序劫持DLL文件，当启动项执行完成后，木马等恶意程序退出启动项，此时无法找出木马劫持的相关文件的问题。

【技术实现步骤摘要】

本专利技术实施例涉及计算机
，特别是涉及一种开机过程的处理方法和系统。
技术介绍
开机启动项是Windows系统下一个非常常见的功能，它让一些应用程序随着Windows系统的启动而启动。将一些常用的程序，以及这些程序加载过程中调用的DLL(Dynamic Link Library,动态链接库)文件等添加到开机启动项中，使这些常用的程序在开机时就运行，不用用户手动启动，非常方便。 实际情况中，开机启动项的功能会被一些程序滥用甚至恶意使用，一些程序未经用户允许，便将自身或是其他的程序、DLL文件，加入到用户的开机启动项中，其中可能会存在病毒木马程序或文件，从而给用户计算机带来一定的危险。计算机开机后，系统的启动项文件夹或是相关注册表中记录有各个启动项。现有技术中，多通过判断上述位置中各个启动项文件的危险级别，来进一步清理可疑的启动项。但是，有些木马或者其他类型的恶意程序会伪装成看似正常的、与某个程序相关的DLL文件添加在启动项中，开机的时候，该程序运行，该木马劫持的DLL文件也会运行，并且运行后即会自行退出启动项。在开机后扫描启动项文件夹或是相关注册表的时候，所有的启动项文件都是本文档来自技高网...

【技术保护点】
一种开机过程的处理方法，包括：获取计算机开机过程中所加载的进程信息，所述进程信息包括进程命令行和进程加载的程序文件；将所述进程信息与计算机操作系统记录的启动项信息进行匹配，获得开机启动项所加载的程序文件，所述启动项信息包括开机启动项和对应的进程命令行；获取所述程序文件的安全属性；依据所述程序文件的安全属性对相应的开机启动项进行清理，并依据所述程序文件的安全属性，以及预置的与所述安全属性相对应的程序清理策略，对各程序文件进行清理。

【技术特征摘要】
1.一种开机过程的处理方法，包括 获取计算机开机过程中所加载的进程信息，所述进程信息包括进程命令行和进程加载的程序文件； 将所述进程信息与计算机操作系统记录的启动项信息进行匹配，获得开机启动项所加载的程序文件，所述启动项信息包括开机启动项和对应的进程命令行； 获取所述程序文件的安全属性； 依据所述程序文件的安全属性对相应的开机启动项进行清理，并依据所述程序文件的安全属性，以及预置的与所述安全属性相对应的程序清理策略，对各程序文件进行清理。2.根据权利要求1所述的方法，所述程序文件包括创建进程的可执行文件和/或进程加载的动态链接库文件。3.根据权利要求1所述的方法，所述将进程信息与计算机操作系统记录的启动项信息进行匹配，获得开机启动项所加载的程序文件的步骤包括 读取计算机操作系统记录的启动项信息； 将所述启动项信息中的进程命令行与所述进程信息中的进程命令行进行匹配； 从所述启动项信息中查找与相匹配的进程命令行对应的开机启动项，并从所述进程信息中查找与所述相匹配的进程命令行对应的程序文件，得出所述开机启动项所加载的程序文件。4.根据权利要求3所述的方法，所述读取计算机操作系统记录的启动项信息的步骤包括 读取计算机操作系统启动项注册表中的键值项，其中，所述键值项的名称为开机启动项，所述键值项的键值为相应的进程命令行； 和/或，读取计算机操作系统目录下的启动项文件夹中各个文件，其中，文件名称为开机启动项，文件的属性信息中包括相应的进程命令行。5.根据权利要求4所述的方法，所述依据程序文件的安全属性对相应的开机启动项进行清理的步骤包括 依据所述程序文件的安全属性确定对应的开机启动项的安全属性； 依据各开机启动项的安全属性确定待清理的开机启动项； 删除系统启动项注册表中待清理的开机启动项的键值； 和/或，删除系统目录下启动项文件夹中待清理的启动项对应的各个文件。6.根据权利要求5所述的方法，所述依据各开机启动项的安全属性确定待清理的开机启动项的步骤包括 若开机启动项的安全属性为安全文件或未知文件，则所述开机启动项不是待清理的开机启动项； 若开机启动项的安全属性为危险文件，则所述开机启动项为待清理的开机启动项。7.根据权利要求3所述的方法，所述启动项信息中包括各个父进程对应的进程命令行，所述进程信息中包括父进程和/或子进程所加载的程序文件，所述进程信息中还包括父进程和子进程的对应关系。8.根据权利要求7所述的方法，所述将进程信息与计算机操作系统记录的启动项信息进行匹配，获得开机启动项所加载的程序文件的步骤还包括依据进程信息中父进程和子进程的对应关系，提取父进程对应的子进程的程序文件，将所述父进程和子进程分别对应的程序文件作为开机启动项对应的程序文件。9.根据权利要求1所述的方法，在所述获取程序文件的安全属性的步骤之前，所述方法还包括 去除与系统文件具备相同名称的程序文件； 和/或，去除系统启动项注册表中预置键值项所对应的程序文件。10.根据权利要求1所述的方法，还包括 调用进程信息记录驱动与计算机操作系统通信，记录计算机开机过程中所加载的进程信息； 所述获取计算机开机过程中所加载的进程信息的步骤包括 调用网络通信驱动与所述进程信息记录驱动通信，获取所述进程信息记录驱动记录的进程信息。11.根据权利要求1所...

【专利技术属性】
技术研发人员：刘智锋，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：