安全保護(hù)處理方法及裝置的制造方法
【專利摘要】本申請(qǐng)?zhí)岢鲆环N安全保護(hù)處理方法和裝置��,其中��,該方法包括:截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作�;判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息;若是��,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)�;向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表。通過(guò)本申請(qǐng)?zhí)峁┑陌踩Wo(hù)處理方法和裝置�����,實(shí)現(xiàn)了保護(hù)目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被獲取���,有效的保護(hù)了目標(biāo)進(jìn)程的安全�,增強(qiáng)了系統(tǒng)的安全性�����。
【專利說(shuō)明】
安全保護(hù)處理方法及裝置
技術(shù)領(lǐng)域
[0001]本申請(qǐng)涉及安全防護(hù)技術(shù)領(lǐng)域�����,尤其涉及一種安全保護(hù)處理方法及裝置����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)發(fā)展�����,木馬、病毒等惡意程序技術(shù)日益發(fā)展�。惡意程序在攻擊系統(tǒng)時(shí),若獲得了系統(tǒng)中重要程序的進(jìn)程信息�,即可通過(guò)關(guān)閉重要程序,比如關(guān)閉殺毒軟件來(lái)繞過(guò)殺毒軟件的防御����,從而對(duì)系統(tǒng)進(jìn)行攻擊。
【發(fā)明內(nèi)容】
[0003]本申請(qǐng)旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問(wèn)題之一��。
[0004]為此����,本申請(qǐng)的第一個(gè)目的在于提出一種安全保護(hù)處理方法,該方法實(shí)現(xiàn)了保護(hù)目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被獲取�����,有效的保護(hù)了目標(biāo)進(jìn)程的安全����,增強(qiáng)了系統(tǒng)的安全性。
[0005]本申請(qǐng)的第二個(gè)目的在于提出一種安全保護(hù)處理裝置���。
[0006]為達(dá)上述目的�����,本申請(qǐng)第一方面實(shí)施例提出了一種安全保護(hù)處理方法����,包括:截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作;判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息;若是�,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù);向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表��。
[0007]本申請(qǐng)實(shí)施例的安全保護(hù)處理方法����,首先截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作,然后判斷系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息����,若是,則在系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)后����,再向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除掉目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表。由此�����,實(shí)現(xiàn)了保護(hù)目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被獲取���,有效的保護(hù)了目標(biāo)進(jìn)程的安全��,增強(qiáng)了系統(tǒng)的安全性�����。
[0008]另外����,根據(jù)本申請(qǐng)上述實(shí)施例的安全保護(hù)處理方法還可以具有如下附加的技術(shù)特征:
[0009]在一些示例中��,所述判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息��,包括:
[0010]判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值�����;
[0011]若是���,則確定所述系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息���。
[0012]在一些示例中�,所述在獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)之前��,還包括:
[0013]確定調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用與預(yù)設(shè)的列表中的應(yīng)用信息匹配�����。
[0014]在一些示例中����,所述向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表之前,還包括:
[0015]將所述目標(biāo)進(jìn)程數(shù)據(jù)所在位置對(duì)應(yīng)的鏈表指針指向下一個(gè)節(jié)點(diǎn)����。
[0016]在一些示例中,所述判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值之后����,還包括:
[0017]若否,則返回與所述參數(shù)值對(duì)應(yīng)的非進(jìn)程信息數(shù)據(jù)�。
[0018]在一些示例中,所述截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作�����,包括:
[0019]通過(guò)與所述系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作�。
[0020]為達(dá)上述目的,本申請(qǐng)第二方面實(shí)施例提出了一種安全保護(hù)處理裝置�����,包括:截獲模塊�����,用于截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作;判斷模塊��,用于判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息;去除模塊����,用于若系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息����,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù);返回模塊,用于向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表�。
[0021]本申請(qǐng)實(shí)施例的安全保護(hù)處理裝置,首先截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作����,然后判斷系統(tǒng)信息查詢函數(shù)查詢的信息是否為系統(tǒng)進(jìn)程信息�,若是�����,則在系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)后�����,再向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除掉目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表���。由此�,實(shí)現(xiàn)了保護(hù)目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被獲取��,有效的保護(hù)了目標(biāo)進(jìn)程的安全����,增強(qiáng)了系統(tǒng)的安全性。
[0022]另外����,根據(jù)本申請(qǐng)上述實(shí)施例的安全保護(hù)處理裝置還可以具有如下附加的技術(shù)特征:
[0023]在一些示例中,所述判斷模塊����,具體用于:
[0024]判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值����;
[0025]若是���,則確定所述系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息���。
[0026]在一些示例中,所述裝置還包括:
[0027]確定模塊����,用于確定調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用與預(yù)設(shè)的列表中的應(yīng)用信息匹配���。
[0028]在一些示例中�����,所述裝置還包括:
[0029]指向模塊�����,用于將所述目標(biāo)進(jìn)程數(shù)據(jù)所在位置對(duì)應(yīng)的鏈表指針指向下一個(gè)節(jié)點(diǎn)��。
[0030]在一些示例中�,所述返回模塊,還用于:
[0031]若系統(tǒng)信息查詢函數(shù)查詢中的參數(shù)不是預(yù)設(shè)的值�,則返回與所述參數(shù)值對(duì)應(yīng)的非進(jìn)程信息數(shù)據(jù)。
[0032]在一些示例中�����,所述截獲模塊���,具體用于:
[0033]通過(guò)與所述系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子����,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作���。
【附圖說(shuō)明】
[0034]本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解�,其中:
[0035]圖1是本申請(qǐng)一個(gè)實(shí)施例的安全保護(hù)處理方法的流程圖����;
[0036]圖2是本申請(qǐng)另一個(gè)實(shí)施例的安全保護(hù)處理方法的流程圖;
[0037]圖3是本申請(qǐng)又一個(gè)實(shí)施例的安全保護(hù)處理方法的流程圖���;
[0038]圖4是本申請(qǐng)一個(gè)實(shí)施例的安全保護(hù)處理裝置的結(jié)構(gòu)示意圖��;
[0039]圖5是本申請(qǐng)另一個(gè)實(shí)施例的安全保護(hù)處理裝置的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0040]下面詳細(xì)描述本申請(qǐng)的實(shí)施例�����,所述實(shí)施例的示例在附圖中示出���,其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件����。下面通過(guò)參考附圖描述的實(shí)施例是示例性的�����,旨在用于解釋本申請(qǐng)��,而不能理解為對(duì)本申請(qǐng)的限制�。
[0041 ]下面參考附圖描述本申請(qǐng)實(shí)施例的安全保護(hù)處理方法及裝置���。
[0042]圖1是本申請(qǐng)一個(gè)實(shí)施例的安全保護(hù)處理方法的流程圖��。
[0043]如圖1所示��,該安全保護(hù)處理方法包括:
[0044]步驟1I���,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作����。
[0045]具體的�,本實(shí)施例提供的安全保護(hù)處理方法的執(zhí)行主體為本申請(qǐng)?zhí)峁┑陌踩Wo(hù)處理裝置。該裝置可以被配置在具有操作系統(tǒng)����、且可以安裝其他軟件或者應(yīng)用的終端中,比如手機(jī)�、計(jì)算機(jī)等等。
[0046]其中��,上述系統(tǒng)信息查詢函數(shù)��,可以為查詢系統(tǒng)信息的系統(tǒng)內(nèi)核函數(shù)���。比如可以為ZwQuerySystemInformat1n內(nèi)核函數(shù)����,在查詢系統(tǒng)進(jìn)程信息時(shí),該函數(shù)可以獲得一個(gè)SYSTEM_PROCESSES結(jié)構(gòu)數(shù)據(jù)��,該結(jié)構(gòu)中的NextEntryDelta字段����,是指向下一個(gè)SYSTEM_PROCESSES結(jié)構(gòu)數(shù)據(jù),即是一個(gè)串行的鏈表信息數(shù)據(jù)����,鏈表中保存系統(tǒng)中所有的進(jìn)程信息。
[0047]當(dāng)用戶或者系統(tǒng)在查詢系統(tǒng)信息時(shí)�����,都需要通過(guò)系統(tǒng)信息查詢函數(shù)����,此時(shí)安全保護(hù)處理裝置,即可截獲該操作��。具體的���,安全保護(hù)處理裝置,可以通過(guò)掛鉤系統(tǒng)信息查詢函數(shù)的方式��,實(shí)現(xiàn)對(duì)該操作的截獲。即上述步驟101����,包括:
[0048]通過(guò)與所述系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作����。
[0049]具體的,可以首先查找系統(tǒng)服務(wù)描述符表(System Services Descriptor Table����,簡(jiǎn)稱SSDT),確定系統(tǒng)信息查詢函數(shù)的地址���,使用鉤子函數(shù)的地址替換系統(tǒng)信息查詢函數(shù)的地址�����。在用戶或者系統(tǒng)查詢進(jìn)程信息時(shí)����,會(huì)首先經(jīng)過(guò)鉤子函數(shù)�,從而即可截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作。
[0050]步驟102�����,判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息。
[0051 ]具體的����,系統(tǒng)信息查詢函數(shù)中可能包括多個(gè)參數(shù),本申請(qǐng)實(shí)施例中安全保護(hù)處理裝置�����,可以根據(jù)系統(tǒng)信息查詢函數(shù)中的用于表征查詢的系統(tǒng)信息類型的參數(shù)的值���,確定該系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息�����。
[0052]相應(yīng)的上述步驟102���,包括:
[0053]判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值;
[0054]若是�����,則確定所述系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息�。
[0055]其中,預(yù)設(shè)的值指系統(tǒng)規(guī)定的���,查詢系統(tǒng)進(jìn)程信息時(shí)的參數(shù)值����。
[0056]舉例來(lái)說(shuō)�����,對(duì)于目前的系統(tǒng)而言��,參數(shù)為5���,表明查詢的是系統(tǒng)進(jìn)程信息����,則預(yù)設(shè)的值為5��。
[0057]步驟103���,若是��,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)����。
[0058]其中,目標(biāo)進(jìn)程是指對(duì)終端的系統(tǒng)運(yùn)行有重要作用的進(jìn)程�,可以為一個(gè)進(jìn)程,也可以為多個(gè)進(jìn)程����。比如,目標(biāo)進(jìn)程可以為殺毒軟件的進(jìn)程���,也可以為系統(tǒng)的核心進(jìn)程����。
[0059]具體的��,安全保護(hù)處理裝置中可以預(yù)先存儲(chǔ)所有目標(biāo)進(jìn)程�����,當(dāng)截獲到查詢系統(tǒng)信息的操作后��,即可判斷通過(guò)所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中���,是否包括預(yù)先存儲(chǔ)的目標(biāo)進(jìn)程���,若包括�,則可將目標(biāo)進(jìn)程數(shù)據(jù)清除�。
[0060]其中�����,目標(biāo)進(jìn)程數(shù)據(jù)指與目標(biāo)進(jìn)程相關(guān)的所有數(shù)據(jù)���,比如目標(biāo)進(jìn)程的名稱���、運(yùn)行情況、存儲(chǔ)位置等等�。
[0061]步驟104,向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表����。
[0062]具體的,在將目標(biāo)進(jìn)程數(shù)據(jù)去除后����,就可以向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除掉目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表,從而使調(diào)用系統(tǒng)信息查詢函數(shù)的用戶或者應(yīng)用,無(wú)法獲得目標(biāo)進(jìn)程數(shù)據(jù)�,保護(hù)了目標(biāo)進(jìn)程數(shù)據(jù)的安全。
[0063]本申請(qǐng)實(shí)施例的安全保護(hù)處理方法����,首先截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作,然后判斷系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息����,若是,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)后���,再向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除掉目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表��。由此���,實(shí)現(xiàn)了保護(hù)目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被獲取,有效的保護(hù)了目標(biāo)進(jìn)程的安全��,增強(qiáng)了系統(tǒng)的安全性�。
[0064]圖2是本申請(qǐng)另一個(gè)實(shí)施例的安全保護(hù)處理方法的流程圖。
[0065]如圖2所示���,在步驟103之前�,該安全保護(hù)處理方法還包括:
[0066]步驟201,確定調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用與預(yù)設(shè)的列表中的應(yīng)用信息匹配���。
[0067]其中��,預(yù)設(shè)的列表中存儲(chǔ)有各種惡意軟件的信息����,比如可以存儲(chǔ)各種惡意軟件的名稱�����、進(jìn)程或運(yùn)行數(shù)據(jù)等��。
[0068]具體的�,可以在安全保護(hù)處理裝置中存儲(chǔ)預(yù)設(shè)的列表�����,當(dāng)在截獲到調(diào)用系統(tǒng)信息查詢函數(shù)的操作�,且在確定該函數(shù)中的第一參數(shù)為預(yù)設(shè)的值后,即可判斷該操作對(duì)應(yīng)的應(yīng)用的信息是否在預(yù)設(shè)的列表中�,若在,則說(shuō)明該操作為惡意軟件執(zhí)行的操作����,從而即可將目標(biāo)進(jìn)程數(shù)據(jù)去除�����,否則����,可以直接返回包括目標(biāo)進(jìn)程數(shù)據(jù)的系統(tǒng)進(jìn)程列表��。
[0069]本申請(qǐng)實(shí)施例的安全保護(hù)處理方法����,首先截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作,然后判斷系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值���,若是��,進(jìn)而在確定預(yù)設(shè)的列表中包括調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用對(duì)應(yīng)的信息后����,再在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)���,進(jìn)而向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除掉目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表���。由此��,實(shí)現(xiàn)了根據(jù)調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用��,確定返回的進(jìn)程數(shù)據(jù)�,有效的保護(hù)了目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被惡意軟件或應(yīng)用獲取��,保護(hù)了目標(biāo)進(jìn)程數(shù)據(jù)的安全性����,增強(qiáng)了系統(tǒng)的安全性。
[0070]圖3是本申請(qǐng)又一個(gè)實(shí)施例的安全保護(hù)處理方法的流程圖��。
[0071 ]如圖3所示����,該安全保護(hù)處理方法包括:
[0072I步驟301�����,通過(guò)與所述系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子���,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作��。
[0073]步驟302���,判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值����,若是�����,則執(zhí)行步驟304����,否則,執(zhí)行步驟303�。
[0074]步驟303,返回與所述參數(shù)值對(duì)應(yīng)的非進(jìn)程信息數(shù)據(jù)�。
[0075]舉例來(lái)說(shuō),若預(yù)設(shè)的值為5���,則系統(tǒng)信息查詢函數(shù)中的參數(shù)不為5時(shí)��,可以向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回非進(jìn)程信息數(shù)據(jù)��,比如�����,模塊信息等���。
[0076]需要說(shuō)明的是���,通常系統(tǒng)信息查詢函數(shù)中,還可以包括用于指示返回?cái)?shù)據(jù)結(jié)構(gòu)的參數(shù)�����,則安全保護(hù)處理裝置�����,可以根據(jù)該參數(shù)規(guī)定的結(jié)構(gòu)�,向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回響應(yīng)的數(shù)據(jù)�。
[0077]步驟304,判斷預(yù)設(shè)的列表中是否包括調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用對(duì)應(yīng)的信息��,若是���,則執(zhí)行步驟305����,否則執(zhí)行步驟308。
[0078]步驟305���,在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)����。
[0079]具體的����,在確定調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用為惡意軟件時(shí),即可讀取系統(tǒng)進(jìn)程列表中各進(jìn)程的名稱�,并將各進(jìn)程的名稱與目標(biāo)進(jìn)程依次進(jìn)行比對(duì),在確定系統(tǒng)進(jìn)程列表中的進(jìn)程名稱與目標(biāo)進(jìn)程名稱相同時(shí)����,即可將相應(yīng)的進(jìn)程對(duì)應(yīng)的數(shù)據(jù)去除。
[0080]步驟306����,向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回所述去除目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表。
[0081]進(jìn)一步地��,在將目標(biāo)進(jìn)程數(shù)據(jù)去除后,系統(tǒng)進(jìn)程列表中會(huì)出現(xiàn)空的鏈表�����,因此�����,該方法在上述步驟306之前����,還包括:
[0082]步驟307,將所述目標(biāo)進(jìn)程數(shù)據(jù)所在位置對(duì)應(yīng)的鏈表指針指向下一個(gè)節(jié)點(diǎn)����。
[0083]舉例來(lái)說(shuō),原來(lái)系統(tǒng)進(jìn)程列表的鏈表指針為a->b->c->d����,若目標(biāo)進(jìn)程數(shù)據(jù)存儲(chǔ)在c處,則將c處的數(shù)據(jù)去除后�����,就可以將進(jìn)程列表的鏈表指針改為a->b_>d�����。
[0084]步驟308�����,向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回完整的系統(tǒng)進(jìn)程列表����。
[0085]具體的,若確定調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用不是惡意軟件�,那么就無(wú)需刪除目標(biāo)進(jìn)程數(shù)據(jù),而直接返回完整的系統(tǒng)進(jìn)程列表�。
[0086]本申請(qǐng)實(shí)施例的安全保護(hù)處理方法,首先通過(guò)與系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子��,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作����,然后判斷系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值,若是�,則再判斷預(yù)設(shè)的列表中是否包括調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用,若包括����,則向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表,否則,向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回完整的系統(tǒng)進(jìn)程列表���。由此�����,實(shí)現(xiàn)了根據(jù)調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用的類型�����、調(diào)用的系統(tǒng)信息查詢函數(shù)中的參數(shù)����,確定向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回的數(shù)據(jù)類型和內(nèi)容����,從而有效的保護(hù)了目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被惡意軟件或應(yīng)用獲取,增強(qiáng)了系統(tǒng)的安全性����。
[0087]為了實(shí)現(xiàn)上述實(shí)施例,本申請(qǐng)還提出一種安全保護(hù)處理裝置����。
[0088]圖4是本申請(qǐng)一個(gè)實(shí)施例的安全保護(hù)處理裝置的結(jié)構(gòu)示意圖����。
[0089]如圖4所示����,該安全保護(hù)處理裝置包括:
[0090]截獲模塊41���,用于截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作���;
[0091]判斷模塊42,用于判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息���;
[0092]去除模塊43�,用于若系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息�,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù);
[0093]返回模塊44��,用于向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表���。
[0094]具體的��,本實(shí)施例提供的安全保護(hù)處理裝置�,用于執(zhí)行上述實(shí)施例提供的安全保護(hù)處理方法。
[0095]其中�����,所述截獲模塊41�,具體用于:
[0096]通過(guò)與所述系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作��。
[0097]其中��,所述判斷模塊42�,具體用于
[0098]判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值;
[0099]若是��,則確定所述系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息����。
[0100]需要說(shuō)明的是,前述對(duì)安全保護(hù)處理方法實(shí)施例的解釋說(shuō)明也適用于該實(shí)施例的安全保護(hù)處理裝置�,此處不再贅述。
[0101]本申請(qǐng)實(shí)施例的安全保護(hù)處理裝置��,首先截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作���,然后判斷系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息��,若是��,則去除系統(tǒng)進(jìn)程列表中的目標(biāo)進(jìn)程數(shù)據(jù)后��,再向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除掉目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表��。由此����,實(shí)現(xiàn)了保護(hù)目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被獲取���,有效的保護(hù)了目標(biāo)進(jìn)程的安全��,增強(qiáng)了系統(tǒng)的安全性����。
[0102]圖5是本申請(qǐng)另一個(gè)實(shí)施例的安全保護(hù)處理裝置的結(jié)構(gòu)示意圖����,如圖5所示,基于圖4所示實(shí)施例�,該安全保護(hù)處理裝置,還包括:
[0103]確定模塊51���,用于確定調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用與預(yù)設(shè)的列表中的應(yīng)用信息匹配�����。
[0104]其中��,預(yù)設(shè)的列表中存儲(chǔ)有各種惡意軟件的信息�,比如可以存儲(chǔ)各種惡意軟件的名稱、進(jìn)程或運(yùn)行數(shù)據(jù)等���。
[0105]進(jìn)一步地����,該安全保護(hù)處理裝置����,還包括:
[0106]指向模塊52,用于將所述目標(biāo)進(jìn)程數(shù)據(jù)所在位置對(duì)應(yīng)的鏈表指針指向下一個(gè)節(jié)點(diǎn)��。
[0107]在一種可能的實(shí)施例中���,若系統(tǒng)信息查詢函數(shù)中的參數(shù)并不是預(yù)設(shè)的值���,則上述返回模塊44���,還用于:
[0108]若系統(tǒng)信息查詢函數(shù)查詢中的參數(shù)不是預(yù)設(shè)的值,����,則返回與所述參數(shù)值對(duì)應(yīng)的非進(jìn)程信息數(shù)據(jù)。
[0109]需要說(shuō)明的是��,前述對(duì)安全保護(hù)處理方法實(shí)施例的解釋說(shuō)明也適用于該實(shí)施例的安全保護(hù)處理裝置���,此處不再贅述����。
[0110]本申請(qǐng)實(shí)施例的安全保護(hù)處理方法���,首先通過(guò)與系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作�,然后判斷系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值,若是���,則再判斷預(yù)設(shè)的列表中是否包括調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用�,若包括��,則向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表,否則����,向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回完整的系統(tǒng)進(jìn)程列表。由此����,實(shí)現(xiàn)了根據(jù)調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用的類型、調(diào)用的系統(tǒng)信息查詢函數(shù)中的參數(shù)���,確定向調(diào)用系統(tǒng)信息查詢函數(shù)的應(yīng)用返回的數(shù)據(jù)類型和內(nèi)容���,從而有效的保護(hù)了目標(biāo)進(jìn)程數(shù)據(jù)不會(huì)被惡意軟件或應(yīng)用獲取,增強(qiáng)了系統(tǒng)的安全性���。
[0111]在本說(shuō)明書(shū)的描述中�,參考術(shù)語(yǔ)“一個(gè)實(shí)施例”�、“一些實(shí)施例”、“示例”����、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)�、材料或者特點(diǎn)包含于本申請(qǐng)的至少一個(gè)實(shí)施例或示例中。在本說(shuō)明書(shū)中���,對(duì)上述術(shù)語(yǔ)的示意性表述不必須針對(duì)的是相同的實(shí)施例或示例�����。而且�,描述的具體特征����、結(jié)構(gòu)、材料或者特點(diǎn)可以在任一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合�。此外���,在不相互矛盾的情況下���,本領(lǐng)域的技術(shù)人員可以將本說(shuō)明書(shū)中描述的不同實(shí)施例或示例以及不同實(shí)施例或示例的特征進(jìn)行結(jié)合和組合。
[0112]流程圖中或在此以其他方式描述的任何過(guò)程或方法描述可以被理解為���,表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過(guò)程的步驟的可執(zhí)行指令的代碼的模塊�����、片段或部分�����,并且本申請(qǐng)的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)�,其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序��,來(lái)執(zhí)行功能��,這應(yīng)被本申請(qǐng)的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解�。
[0113]應(yīng)當(dāng)理解,本申請(qǐng)的各部分可以用硬件��、軟件��、固件或它們的組合來(lái)實(shí)現(xiàn)�����。在上述實(shí)施方式中�,多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來(lái)實(shí)現(xiàn)。
[0114]本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成����,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中����,該程序在執(zhí)行時(shí)�,包括方法實(shí)施例的步驟之一或其組合。
[0115]上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器�����,磁盤(pán)或光盤(pán)等���。盡管上面已經(jīng)示出和描述了本申請(qǐng)的實(shí)施例�,可以理解的是���,上述實(shí)施例是示例性的��,不能理解為對(duì)本申請(qǐng)的限制,本領(lǐng)域的普通技術(shù)人員在本申請(qǐng)的范圍內(nèi)可以對(duì)上述實(shí)施例進(jìn)行變化�、修改、替換和變型�。
【主權(quán)項(xiàng)】
1.一種安全保護(hù)處理方法,其特征在于���,包括以下步驟: 截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作��; 判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息��; 若是�����,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)��; 向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表�。2.如權(quán)利要求1所述的安全保護(hù)處理方法,其特征在于���,所述判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息��,包括: 判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值��; 若是�,則確定所述系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息��。3.如權(quán)利要求1所述的安全保護(hù)處理方法����,其特征在于�����,所述在獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)之前���,還包括: 確定調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用與預(yù)設(shè)的列表中的應(yīng)用信息匹配。4.如權(quán)利要求1所述的安全保護(hù)處理方法�����,其特征在于���,所述向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表之前�����,還包括: 將所述目標(biāo)進(jìn)程數(shù)據(jù)所在位置對(duì)應(yīng)的鏈表指針指向下一個(gè)節(jié)點(diǎn)���。5.如權(quán)利要求2所述的安全保護(hù)處理方法,其特征在于�,所述判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值之后,還包括: 若否�,則返回與所述參數(shù)值對(duì)應(yīng)的非進(jìn)程信息數(shù)據(jù)�����。6.如權(quán)利要求1-5任一所述的方法,其特征在于����,所述截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作,包括: 通過(guò)與所述系統(tǒng)信息查詢函數(shù)關(guān)聯(lián)的鉤子�����,截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作����。7.一種安全保護(hù)處理裝置,其特征在于�,包括: 截獲模塊,用于截獲調(diào)用系統(tǒng)信息查詢函數(shù)的操作�; 判斷模塊,用于判斷所述系統(tǒng)信息查詢函數(shù)查詢的是否為系統(tǒng)進(jìn)程信息���; 去除模塊�,用于若系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息���,則在所述系統(tǒng)信息查詢函數(shù)獲取到的系統(tǒng)進(jìn)程列表中去除目標(biāo)進(jìn)程數(shù)據(jù)���; 返回模塊��,用于向調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用返回去除所述目標(biāo)進(jìn)程數(shù)據(jù)后的系統(tǒng)進(jìn)程列表����。8.如權(quán)利要求7所述的安全保護(hù)處理裝置�����,其特征在于���,所述判斷模塊�,具體用于: 判斷所述系統(tǒng)信息查詢函數(shù)中的參數(shù)是否為預(yù)設(shè)的值���; 若是��,則確定所述系統(tǒng)信息查詢函數(shù)查詢的為系統(tǒng)進(jìn)程信息�。9.如權(quán)利要求7所述的安全保護(hù)處理裝置��,其特征在于�����,還包括:確定模塊,用于確定調(diào)用所述系統(tǒng)信息查詢函數(shù)的應(yīng)用與預(yù)設(shè)的列表中的應(yīng)用信息匹配��。10.如權(quán)利要求7所述的安全保護(hù)處理裝置�����,其特征在于�,還包括: 指向模塊��,用于將所述目標(biāo)進(jìn)程數(shù)據(jù)所在位置對(duì)應(yīng)的鏈表指針指向下一個(gè)節(jié)點(diǎn)����。
【文檔編號(hào)】G06F21/55GK106022118SQ201610340977
【公開(kāi)日】2016年10月12日
【申請(qǐng)日】2016年5月20日
【發(fā)明人】李文靖
【申請(qǐng)人】北京金山安全軟件有限公司