一种异常进程检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及电子安全领域,尤其涉及一种异常进程的检测方法及装置。
【背景技术】
[0002]目前随着互联网的蓬勃发展,电脑黑客、木马、病毒也层出不穷,严重威胁着电子(例如计算机)信息安全。安全问题越来越受到人们重视,因此各种查毒软件也应运而生。现有的查毒方式通常为特征码查毒。特征码查毒是对已知病毒分析、查解的查毒技术,其主要根据单纯的病毒特征码对文件或内存进行扫描匹配,匹配成功则报告相应特征码对应的病毒类型名。采用了“同一病毒或同类病毒的某一部分代码相同”的原理。也就是说,如果病毒及其变种、变形病毒具有同一性,则可以对这种同一性,则可以对这种同一性进行描述。然而并非所有病毒都可以描述其特征码,很多病毒难以描述甚至无法用特征码进行描述。可见,采用特征码查毒这种方式对病毒进行查杀需要事先知道病毒或同类病毒的特征码,也即需要事先知道病毒的特性,对于不知道特性的病毒是无法查杀的。
【发明内容】
[0003]本发明要解决的主要技术问题是,提供一种异常进程检测方法及装置,解决现有技术中无法对未知病毒进行查杀的问题。
[0004]为解决上述技术问题,本发明提供了一种异常进程检测方法,包括:确定系统中正在运行的进程对应的执行程序;判断执行程序的路径是否属于预设的合法路径,若否,则标记执行程序对应的进程异常。
[0005]在本发明的一种实施例中,合法路径包括系统文件夹路径集合和自定义合法程序全路径集合;判断执行程序的路径是否属于预设的合法路径包括:判断执行程序的路径是否属于预设的系统文件夹路径集合,若是,则标记执行程序对应的进程合法;若否,则判断执行程序的路径是否属于预设的自定义合法程序全路径集合,若否,则标记执行程序对应的进程异常;判断执行程序的路径是否属于预设的系统文件夹路径集合包括:判断执行程序所在的文件夹的路径是否与系统文件夹路径集合中的一个系统文件夹路径相同,或者是否为系统文件夹路径集合中的一个系统文件夹路径下的子路径,若是,则判断执行程序的路径属于预设的系统文件夹路径集合;判断执行程序的路径是否属于预设的自定义合法程序全路径集合包括:判断执行程序的全路径是否与自定义合法程序全路径集合中的一个自定义合法全路径相同,若是,则判断执行程序的路径属于预设的自定义合法程序全路径集入口 ο
[0006]在本发明的一种实施例中,在判断执行程序的路径是否属于预设的自定义合法程序全路径集合之前还包括:存储自定义合法程序全路径集合中各自定义合法全路径对应的合法程序的内容标识信息;当判断执行程序的路径是否属于预设的自定义合法程序全路径集合的结果为是时,还包括:判断全路径相同的合法程序和执行程序的内容标识信息是否相同,若否,则标记执行程序对应的进程异常。
[0007]在本发明的一种实施例中,内容标识信息为数据摘要值。
[0008]在本发明的一种实施例中,对进程进行标记之后,对与之对应的执行程序标记相应的状态;在确定系统中正在运行的进程对应的执行程序之后,判断执行程序的路径是否属于预设的合法路径之前还包括:判断当前进程对应的执行程序是否已经经过标记,若是,则直接根据执行程序的标记状态对当前进程进行标记。
[0009]在本发明的一种实施例中,在标记执行程序对应的进程异常之后,还包括:人为判断进程是否异常,若否,则将进程对应的执行程序的路径设置为合法路径。
[0010]在本发明的一种实施例中,在判断执行程序的路径是否属于预设的合法路径之前还包括:采用以下方式中的至少一种确定预设的合法路径:在终端无病毒的情况下进行系统进程快照获取合法进程的合法路径;将用户认为合法的进程对应的路径作为合法路径。
[0011]本发明还提供了一种异常进程检测装置,包括:程序确定模块、路径判断模块和进程标记模块;程序确定模块用于确定系统中正在运行的进程对应的执行程序;路径判断模块用于判断执行程序的路径是否属于预设的合法路径,若否,则通知进程标记模块标记执行程序对应的进程异常。
[0012]在本发明的一种实施例中,路径判断模块还包括系统判断子模块和自定义判断子模块,系统判断子模块用于判断执行程序的路径是否属于预设的系统文件夹路径集合,若是,则通知进程标记模块标记执行程序对应的进程合法;若否,则通知自定义判断子模块;自定义判断子模块用于判断执行程序的路径是否属于预设的自定义合法程序全路径集合,若否,则通知进程标记模块标记执行程序对应的进程异常;系统判断子模块包括文件夹判断子模块,用于判断执行程序所在的文件夹的路径是否与系统文件夹路径集合中的一个系统文件夹路径相同,或者为系统文件夹路径集合中的一个系统文件夹路径下的子路径,若是,则判断执行程序的路径属于预设的系统文件夹路径集合;自定义判断子模块包括全路径判断子模块,用于判断执行程序的全路径是否与自定义合法程序全路径集合中的一个自定义合法全路径相同,若是,则判断执行程序的路径属于预设的自定义合法程序全路径集入口 ο
[0013]在本发明的一种实施例中,还包括存储模块,用于存储自定义合法程序全路径集合中各自定义合法全路径对应的合法程序的内容标识信息;装置还包括信息判断模块,用于判断全路径相同的合法程序和执行程序的内容标识信息是否相同,若否,则通知进程标记模块标记执行程序对应的进程异常。
[0014]在本发明的一种实施例中,信息判断模块还包括数据摘要判断子模块,用于判断全路径相同的合法程序和执行程序的数据摘要值是否相同。
[0015]在本发明提供的一种实施例中,装置还包括程序标记模块,用于在对进程进行标记之后,对与之对应的执行程序标记相应的状态;装置还包括程序判断模块,用于在程序确定模块确定系统中正在运行的进程对应的执行程序之后,判断当前进程对应的执行程序是否已经经过标记,若是,则通知进程标记模块直接根据执行程序的标记状态对当前进程进行标记。
[0016]本发明的有益效果是:
[0017]本发明提供了一种异常进程检测方法及装置,本发明提供的异常进程检测方法包括:确定装置中正在运行的进程对应的执行程序;判断执行程序的路径是否属于预设的合法路径,若否,则标记所述执行程序对应的进程异常。本发明提供的方法中,预设的合法路径为预先设定的,用于存储合法程序的路径,如果当前允许的进程对应的执行程序不在合法路径内,就证明该进程的执行程序不合法,因此该进程也异常。本发明提供的方法只需判断该进程的执行程序的路径是否属于预设的合法路径,就可以确定进程的状态,进而确定该进程是否为病毒的进程,从而实现对病毒的查杀。可见,本发明提供的异常进程检测方法并不需要知道病毒的特性就可以对病毒进行查杀。
【附图说明】
[0018]图1为本发明实施例一提供的一种异常进程检测方法的流程示意图;
[0019]图2为本发明实施例二提供的一种异常进程检测方法的流程示意图;
[0020]图3为本发明实施例三提供的一种异常进程检测装置的结构示意图;
[0021]图4为本发明实施例三提供的另一种异常进程检测装置的结构示意图;
[0022]图5为本发明实施例三提供的又一种异常进程检测装置的结构示意图;
[0023]图6为本发明实施例三提供的再一种异常进程检测装置的结构示意图。
【具体实施方式】
[0024]如本领域的技术人员理解的,本发明可以体现为系统、装置、方法或计算机程序产品。因此,本发明可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)的形式。此外,本发明可以采取体现在任何有形表达介质(在介质中包含计算机可用程序代码)中