1.一种用于识别可疑事件来源的计算机实施的方法,包括:
在数据库中登记系统事件;
检测与第一进程相关联的可疑事件;
将所述第一进程识别为多个潜在傀儡进程中的一个;以及
查询所述数据库中已登记的系统事件以识别第二进程,所述第二进程被检测为启动所述第一进程。
2.根据权利要求1所述的方法,还包括:
生成通知,所述通知将所述第二进程识别为所述可疑事件的来源。
3.根据权利要求1所述的方法,还包括:
确定所述第二进程在发起所述第一进程后关闭。
4.根据权利要求1所述的方法,还包括:
在识别发起所述第一进程的所述第二进程后,将所述第一进程识别为傀儡进程。
5.根据权利要求1所述的方法,其中经由所述第二进程直接在命令行接口上提供的指令发起所述第一进程。
6.根据权利要求1所述的方法,其中经由来自至少一个文件的指令发起所述第一进程,到达所述至少一个文件的路径由所述第二进程在命令行接口上提供。
7.根据权利要求1所述的方法,还包括:
维护潜在傀儡进程的列表;
经由已登记的系统事件检测新的傀儡进程,其中所述已登记的系统事件包括检测到的进程启动事件;以及
将所述新的傀儡进程添加到所述潜在傀儡进程的列表。
8.根据权利要求7所述的方法,其中所述潜在傀儡进程的列表包括具有命令行接口的至少一个进程。
9.根据权利要求8所述的方法,其中所述潜在傀儡进程的列表包括cmd.exe、rundll.exe、rundll32.exe、regsvr32.exe、dllhost.exe、regedit.exe、taskhost.exe、cscript、wscript、vbscript、perlscript、bash、ldconfig、terminal.app和x-code.app中的至少一者。
10.根据权利要求1所述的方法,其中经由内核模式驱动程序登记所述系统事件。
11.一种被配置成识别可疑事件来源的计算设备,包括:
处理器;
与所述处理器进行电子通信的存储器;
存储在所述存储器中的指令,所述指令可由所述处理器执行以:
在数据库中登记系统事件;
检测与第一进程相关联的可疑事件;
将所述第一进程识别为多个潜在傀儡进程中的一个;以及
查询所述数据库中已登记的系统事件以识别第二进程,所述第二进程被检测为启动所述第一进程。
12.根据权利要求11所述的计算设备,其中所述指令可由所述处理器执行以:
生成通知,所述通知将所述第二进程识别为所述可疑事件的来源。
13.根据权利要求11所述的计算设备,其中所述指令可由所述处理器执行以:
确定所述第二进程在发起所述第一进程后关闭。
14.根据权利要求11所述的计算设备,其中所述指令可由所述处理器执行以:
在识别发起所述第一进程的所述第二进程后,将所述第一进程识别为傀儡进程。
15.根据权利要求11所述的计算设备,其中经由所述第二进程直接在命令行接口上提供的指令发起所述第一进程。
16.根据权利要求11所述的计算设备,其中经由来自至少一个文件的指令发起所述第一进程,到达所述至少一个文件的路径由所述第二进程在命令行接口上提供。
17.根据权利要求11所述的计算设备,其中所述指令可由所述处理器执行以:
维护潜在傀儡进程的列表;
经由已登记的系统事件检测新的傀儡进程,其中所述已登记的系统事件包括检测到的进程启动事件;以及
将所述新的傀儡进程添加到所述潜在傀儡进程的列表。
18.根据权利要求17所述的计算设备,其中所述潜在傀儡进程的列表包括具有命令行接口的至少一个进程。
19.一种用于由处理器识别可疑事件来源的计算机程序产品,所述计算机程序产品包括非暂态性计算机可读介质,所述非暂态性计算机可读介质上存储有指令,所述指令可由所述处理器执行以:
在数据库中登记系统事件;
检测与第一进程相关联的可疑事件;
将所述第一进程识别为多个潜在傀儡进程中的一个;以及
查询所述数据库中已登记的系统事件以识别第二进程,所述第二进程被检测为启动所述第一进程。
20.根据权利要求19所述的计算机程序产品,其中所述指令可由所述处理器执行以:
生成通知,所述通知将所述第二进程识别为所述可疑事件的来源。