一種用戶終端中惡意進(jìn)程的識(shí)別方法、裝置及用戶終端的制作方法

一種用戶終端中惡意進(jìn)程的識(shí)別方法、裝置及用戶終端的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及軟件技術(shù)領(lǐng)域，尤其涉及一種用戶終端中惡意進(jìn)程的識(shí)別方法、裝置及用戶終端。
【背景技術(shù)】
[0002]目前，隨著互聯(lián)網(wǎng)的發(fā)展，提供給用戶的軟件產(chǎn)品越來越多樣化。例如，當(dāng)用戶終端在下載某一軟件時(shí)，該軟件中可能包括進(jìn)行推廣的惡意軟件等，惡意軟件可指未經(jīng)用戶允許安裝執(zhí)行，會(huì)對(duì)用戶及系統(tǒng)運(yùn)行產(chǎn)生影響和危害的軟件，包括病毒、蠕蟲、木馬、后門程序、密碼盜竊程序及其他有以上所列惡意軟件功能的軟件。同時(shí)，上述惡意軟件的更新頻率高，變化形式多樣，不容易被識(shí)別。當(dāng)前在識(shí)別惡意軟件的運(yùn)行進(jìn)程時(shí)，需要首先收集惡意進(jìn)程樣本，即從各種媒介提取到的懷疑是惡意進(jìn)程的可執(zhí)行文件或可能包含惡意軟件的壓縮文件等，識(shí)別樣本中的文件信息，從而判別該樣本是否為惡意進(jìn)程。然而，當(dāng)惡意軟件在被識(shí)別出時(shí)，已被進(jìn)行廣泛傳播，導(dǎo)致通過收集樣本的方式識(shí)別惡意軟件或其運(yùn)行進(jìn)程并對(duì)其進(jìn)行清理存在一定的滯后性。

【發(fā)明內(nèi)容】

[0003]本發(fā)明實(shí)施例提供了一種用戶終端中惡意進(jìn)程的識(shí)別方法、裝置及用戶終端。采用本發(fā)明實(shí)施例，可在采集惡意樣本之前識(shí)別出惡意進(jìn)程，能夠及時(shí)識(shí)別惡意進(jìn)程，從而可及時(shí)對(duì)其進(jìn)行攔截，提升了攔截效率。
[0004]本發(fā)明實(shí)施例在第一方面提供了一種用戶終端中惡意進(jìn)程的識(shí)別方法，該方法可包括:
[0005]確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程；
[0006]獲取所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)特征；
[0007]若在第二運(yùn)行進(jìn)程中啟動(dòng)第二子進(jìn)程時(shí)包含所述啟動(dòng)特征，則識(shí)別所述第二子進(jìn)程為惡意進(jìn)程。
[0008]作為可選的實(shí)施例，在所述確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程之前，所述方法還包括:
[0009]監(jiān)測所述系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程的執(zhí)行鏈條；
[0010]記錄所述第一運(yùn)行進(jìn)程的執(zhí)行鏈條中所述第一運(yùn)行進(jìn)程在啟動(dòng)子進(jìn)程時(shí)的啟動(dòng)方式，所述第一運(yùn)行進(jìn)程的關(guān)鍵行為，和/或，所述啟動(dòng)的子進(jìn)程的進(jìn)程信息。
[0011]作為可選的實(shí)施例，所述確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程，包括:
[0012]從所述第一次運(yùn)行進(jìn)程的關(guān)鍵行為中獲取所述第一運(yùn)行進(jìn)程對(duì)用戶的提示信息;
[0013]判斷所述提示信息是否提示開啟所述第一子進(jìn)程；
[0014]若判斷的結(jié)果為否，則確定所述第一子進(jìn)程為惡意進(jìn)程。
[0015]作為可選的實(shí)施例，所述確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程，包括:
[0016]從所述啟動(dòng)的子進(jìn)程的進(jìn)程信息中獲取所述第一子進(jìn)程的進(jìn)程標(biāo)識(shí)；
[0017]向服務(wù)器發(fā)送查詢請(qǐng)求，其中，所述查詢請(qǐng)求中包括所述第一子進(jìn)程的進(jìn)程標(biāo)識(shí)；
[0018]當(dāng)接收到所述服務(wù)器針對(duì)所述查詢請(qǐng)求反饋的確認(rèn)響應(yīng)后，則確定所述第一子進(jìn)程為惡意進(jìn)程。
[0019]作為可選的實(shí)施例，所述獲取所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)特征，包括:
[0020]從所述第一運(yùn)行進(jìn)程在啟動(dòng)子進(jìn)程時(shí)的啟動(dòng)方式中獲取所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)方式；
[0021]從所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)方式中獲取所述第一子進(jìn)程針對(duì)所述第一運(yùn)行進(jìn)程的結(jié)算參數(shù)；
[0022]將所述結(jié)算參數(shù)作為所述啟動(dòng)特征。
[0023]作為可選的實(shí)施例，在所述若在第二運(yùn)行進(jìn)程中啟動(dòng)第二子進(jìn)程時(shí)包含所述啟動(dòng)特征，則識(shí)別所述第二子進(jìn)程為惡意進(jìn)程之前，所述方法還包括:
[0024]監(jiān)測所述第二運(yùn)行進(jìn)程的執(zhí)行鏈條；
[0025]當(dāng)監(jiān)測到所述第二運(yùn)行進(jìn)程的執(zhí)行鏈條中所述第二運(yùn)行進(jìn)程啟動(dòng)所述第二子進(jìn)程時(shí)，判斷所述第二運(yùn)行進(jìn)程啟動(dòng)所述第二子進(jìn)程的啟動(dòng)方式中是否包含所述結(jié)算參數(shù)；
[0026]若判斷的結(jié)果為是，則識(shí)別所述第二子進(jìn)程為惡意進(jìn)程。
[0027]本發(fā)明實(shí)施例的第二方面提供了一種用戶終端中惡意進(jìn)程的識(shí)別裝置，該裝置可包括:
[0028]確定模塊，用于確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程；
[0029]獲取模塊，用于獲取所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)特征；
[0030]識(shí)別模塊，用于若在第二運(yùn)行進(jìn)程中啟動(dòng)第二子進(jìn)程時(shí)包含所述啟動(dòng)特征，則識(shí)別所述第二子進(jìn)程為惡意進(jìn)程。
[0031]作為可選的實(shí)施例，所述裝置還包括:
[0032]監(jiān)測模塊，用于在所述確定模塊確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程之前，監(jiān)測所述系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程的執(zhí)行鏈條；
[0033]記錄模塊，用于記錄所述第一運(yùn)行進(jìn)程的執(zhí)行鏈條中所述第一運(yùn)行進(jìn)程在啟動(dòng)子進(jìn)程時(shí)的啟動(dòng)方式，所述第一運(yùn)行進(jìn)程的關(guān)鍵行為，和/或，所述啟動(dòng)的子進(jìn)程的進(jìn)程信息。
[0034]作為可選的實(shí)施例，所述確定模塊包括:
[0035]信息獲取單元，用于從所述第一次運(yùn)行進(jìn)程的關(guān)鍵行為中獲取所述第一運(yùn)行進(jìn)程對(duì)用戶的提示信息；
[0036]信息判斷單元，用于判斷所述提示信息是否提示開啟所述第一子進(jìn)程；
[0037]確定單元，用于當(dāng)所述判斷單元判斷的結(jié)果為否，則確定所述第一子進(jìn)程為惡意進(jìn)程。
[0038]作為可選的實(shí)施例，所述確定模塊包括:
[0039]標(biāo)識(shí)獲取單元，用于從所述啟動(dòng)的子進(jìn)程的進(jìn)程信息中獲取所述第一子進(jìn)程的進(jìn)程標(biāo)識(shí)；
[0040]發(fā)送單元，用于向服務(wù)器發(fā)送查詢請(qǐng)求，其中，所述查詢請(qǐng)求中包括所述第一子進(jìn)程的進(jìn)程標(biāo)識(shí)；
[0041]確定單元，用于當(dāng)接收到所述服務(wù)器針對(duì)所述查詢請(qǐng)求反饋的確認(rèn)響應(yīng)后，則確定所述第一子進(jìn)程為惡意進(jìn)程。
[0042]作為可選的實(shí)施例，所述獲取模塊包括:
[0043]方式獲取單元，用于從所述第一運(yùn)行進(jìn)程在啟動(dòng)子進(jìn)程時(shí)的啟動(dòng)方式中獲取所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)方式；
[0044]參數(shù)獲取單元，用于從所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)方式中獲取所述第一子進(jìn)程針對(duì)所述第一運(yùn)行進(jìn)程的結(jié)算參數(shù)；
[0045]定義單元，用于將所述結(jié)算參數(shù)作為所述啟動(dòng)特征。
[0046]作為可選的實(shí)施例，所述監(jiān)測模塊還用于監(jiān)測所述第二運(yùn)行進(jìn)程的執(zhí)行鏈條；
[0047]所述裝置還包括:
[0048]參數(shù)判斷模塊，用于當(dāng)所述監(jiān)測模塊監(jiān)測到所述第二運(yùn)行進(jìn)程的執(zhí)行鏈條中所述第二運(yùn)行進(jìn)程啟動(dòng)所述第二子進(jìn)程時(shí)，判斷所述第二運(yùn)行進(jìn)程啟動(dòng)所述第二子進(jìn)程的啟動(dòng)方式中是否包含所述結(jié)算參數(shù)；
[0049]其中，所述識(shí)別模塊還用于當(dāng)所述參數(shù)判斷模塊判斷的結(jié)果為是時(shí)，識(shí)別所述第二子進(jìn)程為惡意進(jìn)程。
[0050]本發(fā)明實(shí)施例第三方面提供了一種用戶終端，包括用戶接口、存儲(chǔ)器及處理器，其中，所述存儲(chǔ)器用于存儲(chǔ)一組程序代碼，所述處理器調(diào)用所述存儲(chǔ)器存儲(chǔ)的程序代碼以用于執(zhí)行以下操作:
[0051]確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程；
[0052]獲取所述第一運(yùn)行進(jìn)程在啟動(dòng)所述第一子進(jìn)程時(shí)的啟動(dòng)特征；
[0053]若在第二運(yùn)行進(jìn)程中啟動(dòng)第二子進(jìn)程時(shí)包含所述啟動(dòng)特征，則識(shí)別所述第二子進(jìn)程為惡意進(jìn)程。
[0054]本發(fā)明實(shí)施例中，通過確定系統(tǒng)內(nèi)第一運(yùn)行進(jìn)程中啟動(dòng)的第一子進(jìn)程為惡意進(jìn)程，則可獲取第一運(yùn)行進(jìn)程在啟動(dòng)第一子進(jìn)程時(shí)的啟動(dòng)特征，并可根據(jù)該啟動(dòng)特征匹配其他進(jìn)程啟動(dòng)子進(jìn)程的啟動(dòng)方式，若匹配成功，即發(fā)現(xiàn)第二運(yùn)行進(jìn)程中啟動(dòng)第二子進(jìn)程時(shí)包含啟動(dòng)特征，則可識(shí)別第二子進(jìn)程與第一子進(jìn)程同為一種惡意進(jìn)程。從而可在收集第二子進(jìn)程的樣本值錢，對(duì)第二子進(jìn)程進(jìn)行識(shí)別。能夠及時(shí)識(shí)別惡意進(jìn)程，從而可及時(shí)對(duì)其進(jìn)行攔截，提升了攔截效率。
【附圖說明】
[0055]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0056]圖1是本發(fā)明中的一種用戶終端中惡意進(jìn)程的識(shí)別方法的一實(shí)施例的流程圖；
[0057]圖2是本發(fā)明中的一種用戶終端中惡意進(jìn)程的識(shí)別方法的另一實(shí)施例的流程圖；
[0058]圖