1.一種用于識別可疑事件來源的計(jì)算機(jī)實(shí)施的方法,包括:
在數(shù)據(jù)庫中登記系統(tǒng)事件;
檢測與第一進(jìn)程相關(guān)聯(lián)的可疑事件;
將所述第一進(jìn)程識別為多個潛在傀儡進(jìn)程中的一個;以及
查詢所述數(shù)據(jù)庫中已登記的系統(tǒng)事件以識別第二進(jìn)程,所述第二進(jìn)程被檢測為啟動所述第一進(jìn)程。
2.根據(jù)權(quán)利要求1所述的方法,還包括:
生成通知,所述通知將所述第二進(jìn)程識別為所述可疑事件的來源。
3.根據(jù)權(quán)利要求1所述的方法,還包括:
確定所述第二進(jìn)程在發(fā)起所述第一進(jìn)程后關(guān)閉。
4.根據(jù)權(quán)利要求1所述的方法,還包括:
在識別發(fā)起所述第一進(jìn)程的所述第二進(jìn)程后,將所述第一進(jìn)程識別為傀儡進(jìn)程。
5.根據(jù)權(quán)利要求1所述的方法,其中經(jīng)由所述第二進(jìn)程直接在命令行接口上提供的指令發(fā)起所述第一進(jìn)程。
6.根據(jù)權(quán)利要求1所述的方法,其中經(jīng)由來自至少一個文件的指令發(fā)起所述第一進(jìn)程,到達(dá)所述至少一個文件的路徑由所述第二進(jìn)程在命令行接口上提供。
7.根據(jù)權(quán)利要求1所述的方法,還包括:
維護(hù)潛在傀儡進(jìn)程的列表;
經(jīng)由已登記的系統(tǒng)事件檢測新的傀儡進(jìn)程,其中所述已登記的系統(tǒng)事件包括檢測到的進(jìn)程啟動事件;以及
將所述新的傀儡進(jìn)程添加到所述潛在傀儡進(jìn)程的列表。
8.根據(jù)權(quán)利要求7所述的方法,其中所述潛在傀儡進(jìn)程的列表包括具有命令行接口的至少一個進(jìn)程。
9.根據(jù)權(quán)利要求8所述的方法,其中所述潛在傀儡進(jìn)程的列表包括cmd.exe、rundll.exe、rundll32.exe、regsvr32.exe、dllhost.exe、regedit.exe、taskhost.exe、cscript、wscript、vbscript、perlscript、bash、ldconfig、terminal.app和x-code.app中的至少一者。
10.根據(jù)權(quán)利要求1所述的方法,其中經(jīng)由內(nèi)核模式驅(qū)動程序登記所述系統(tǒng)事件。
11.一種被配置成識別可疑事件來源的計(jì)算設(shè)備,包括:
處理器;
與所述處理器進(jìn)行電子通信的存儲器;
存儲在所述存儲器中的指令,所述指令可由所述處理器執(zhí)行以:
在數(shù)據(jù)庫中登記系統(tǒng)事件;
檢測與第一進(jìn)程相關(guān)聯(lián)的可疑事件;
將所述第一進(jìn)程識別為多個潛在傀儡進(jìn)程中的一個;以及
查詢所述數(shù)據(jù)庫中已登記的系統(tǒng)事件以識別第二進(jìn)程,所述第二進(jìn)程被檢測為啟動所述第一進(jìn)程。
12.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:
生成通知,所述通知將所述第二進(jìn)程識別為所述可疑事件的來源。
13.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:
確定所述第二進(jìn)程在發(fā)起所述第一進(jìn)程后關(guān)閉。
14.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:
在識別發(fā)起所述第一進(jìn)程的所述第二進(jìn)程后,將所述第一進(jìn)程識別為傀儡進(jìn)程。
15.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中經(jīng)由所述第二進(jìn)程直接在命令行接口上提供的指令發(fā)起所述第一進(jìn)程。
16.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中經(jīng)由來自至少一個文件的指令發(fā)起所述第一進(jìn)程,到達(dá)所述至少一個文件的路徑由所述第二進(jìn)程在命令行接口上提供。
17.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:
維護(hù)潛在傀儡進(jìn)程的列表;
經(jīng)由已登記的系統(tǒng)事件檢測新的傀儡進(jìn)程,其中所述已登記的系統(tǒng)事件包括檢測到的進(jìn)程啟動事件;以及
將所述新的傀儡進(jìn)程添加到所述潛在傀儡進(jìn)程的列表。
18.根據(jù)權(quán)利要求17所述的計(jì)算設(shè)備,其中所述潛在傀儡進(jìn)程的列表包括具有命令行接口的至少一個進(jìn)程。
19.一種用于由處理器識別可疑事件來源的計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)程序產(chǎn)品包括非暫態(tài)性計(jì)算機(jī)可讀介質(zhì),所述非暫態(tài)性計(jì)算機(jī)可讀介質(zhì)上存儲有指令,所述指令可由所述處理器執(zhí)行以:
在數(shù)據(jù)庫中登記系統(tǒng)事件;
檢測與第一進(jìn)程相關(guān)聯(lián)的可疑事件;
將所述第一進(jìn)程識別為多個潛在傀儡進(jìn)程中的一個;以及
查詢所述數(shù)據(jù)庫中已登記的系統(tǒng)事件以識別第二進(jìn)程,所述第二進(jìn)程被檢測為啟動所述第一進(jìn)程。
20.根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,其中所述指令可由所述處理器執(zhí)行以:
生成通知,所述通知將所述第二進(jìn)程識別為所述可疑事件的來源。