亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于識別可疑事件來源的系統(tǒng)和方法與流程

文檔序號:11142307閱讀:來源:國知局

技術(shù)特征:

1.一種用于識別可疑事件來源的計(jì)算機(jī)實(shí)施的方法,包括:

在數(shù)據(jù)庫中登記系統(tǒng)事件;

檢測與第一進(jìn)程相關(guān)聯(lián)的可疑事件;

將所述第一進(jìn)程識別為多個潛在傀儡進(jìn)程中的一個;以及

查詢所述數(shù)據(jù)庫中已登記的系統(tǒng)事件以識別第二進(jìn)程,所述第二進(jìn)程被檢測為啟動所述第一進(jìn)程。

2.根據(jù)權(quán)利要求1所述的方法,還包括:

生成通知,所述通知將所述第二進(jìn)程識別為所述可疑事件的來源。

3.根據(jù)權(quán)利要求1所述的方法,還包括:

確定所述第二進(jìn)程在發(fā)起所述第一進(jìn)程后關(guān)閉。

4.根據(jù)權(quán)利要求1所述的方法,還包括:

在識別發(fā)起所述第一進(jìn)程的所述第二進(jìn)程后,將所述第一進(jìn)程識別為傀儡進(jìn)程。

5.根據(jù)權(quán)利要求1所述的方法,其中經(jīng)由所述第二進(jìn)程直接在命令行接口上提供的指令發(fā)起所述第一進(jìn)程。

6.根據(jù)權(quán)利要求1所述的方法,其中經(jīng)由來自至少一個文件的指令發(fā)起所述第一進(jìn)程,到達(dá)所述至少一個文件的路徑由所述第二進(jìn)程在命令行接口上提供。

7.根據(jù)權(quán)利要求1所述的方法,還包括:

維護(hù)潛在傀儡進(jìn)程的列表;

經(jīng)由已登記的系統(tǒng)事件檢測新的傀儡進(jìn)程,其中所述已登記的系統(tǒng)事件包括檢測到的進(jìn)程啟動事件;以及

將所述新的傀儡進(jìn)程添加到所述潛在傀儡進(jìn)程的列表。

8.根據(jù)權(quán)利要求7所述的方法,其中所述潛在傀儡進(jìn)程的列表包括具有命令行接口的至少一個進(jìn)程。

9.根據(jù)權(quán)利要求8所述的方法,其中所述潛在傀儡進(jìn)程的列表包括cmd.exe、rundll.exe、rundll32.exe、regsvr32.exe、dllhost.exe、regedit.exe、taskhost.exe、cscript、wscript、vbscript、perlscript、bash、ldconfig、terminal.app和x-code.app中的至少一者。

10.根據(jù)權(quán)利要求1所述的方法,其中經(jīng)由內(nèi)核模式驅(qū)動程序登記所述系統(tǒng)事件。

11.一種被配置成識別可疑事件來源的計(jì)算設(shè)備,包括:

處理器;

與所述處理器進(jìn)行電子通信的存儲器;

存儲在所述存儲器中的指令,所述指令可由所述處理器執(zhí)行以:

在數(shù)據(jù)庫中登記系統(tǒng)事件;

檢測與第一進(jìn)程相關(guān)聯(lián)的可疑事件;

將所述第一進(jìn)程識別為多個潛在傀儡進(jìn)程中的一個;以及

查詢所述數(shù)據(jù)庫中已登記的系統(tǒng)事件以識別第二進(jìn)程,所述第二進(jìn)程被檢測為啟動所述第一進(jìn)程。

12.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:

生成通知,所述通知將所述第二進(jìn)程識別為所述可疑事件的來源。

13.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:

確定所述第二進(jìn)程在發(fā)起所述第一進(jìn)程后關(guān)閉。

14.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:

在識別發(fā)起所述第一進(jìn)程的所述第二進(jìn)程后,將所述第一進(jìn)程識別為傀儡進(jìn)程。

15.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中經(jīng)由所述第二進(jìn)程直接在命令行接口上提供的指令發(fā)起所述第一進(jìn)程。

16.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中經(jīng)由來自至少一個文件的指令發(fā)起所述第一進(jìn)程,到達(dá)所述至少一個文件的路徑由所述第二進(jìn)程在命令行接口上提供。

17.根據(jù)權(quán)利要求11所述的計(jì)算設(shè)備,其中所述指令可由所述處理器執(zhí)行以:

維護(hù)潛在傀儡進(jìn)程的列表;

經(jīng)由已登記的系統(tǒng)事件檢測新的傀儡進(jìn)程,其中所述已登記的系統(tǒng)事件包括檢測到的進(jìn)程啟動事件;以及

將所述新的傀儡進(jìn)程添加到所述潛在傀儡進(jìn)程的列表。

18.根據(jù)權(quán)利要求17所述的計(jì)算設(shè)備,其中所述潛在傀儡進(jìn)程的列表包括具有命令行接口的至少一個進(jìn)程。

19.一種用于由處理器識別可疑事件來源的計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)程序產(chǎn)品包括非暫態(tài)性計(jì)算機(jī)可讀介質(zhì),所述非暫態(tài)性計(jì)算機(jī)可讀介質(zhì)上存儲有指令,所述指令可由所述處理器執(zhí)行以:

在數(shù)據(jù)庫中登記系統(tǒng)事件;

檢測與第一進(jìn)程相關(guān)聯(lián)的可疑事件;

將所述第一進(jìn)程識別為多個潛在傀儡進(jìn)程中的一個;以及

查詢所述數(shù)據(jù)庫中已登記的系統(tǒng)事件以識別第二進(jìn)程,所述第二進(jìn)程被檢測為啟動所述第一進(jìn)程。

20.根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,其中所述指令可由所述處理器執(zhí)行以:

生成通知,所述通知將所述第二進(jìn)程識別為所述可疑事件的來源。

當(dāng)前第2頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1