一种进程路径获取方法、装置和电子设备与流程
本申请涉及安全防护技术领域,尤其涉及一种进程路径获取方法、装置和电子设备。
背景技术:
随着互联网技术发展,木马、病毒等恶意程序技术层出不穷。目前,安全程序主要是通过查杀恶意程序的进程,来预防恶意程序攻击电子设备,从而保护电子设备及用户信息的安全。
通常,通过调用系统的内核函数ZwQueryInformationProcess,即可通过系统中的进程句柄表,获取系统中进程路径信息,从而根据恶意程序的进程路径信息,即可查杀恶意程序。但是,若恶意程序抹掉了该进程句柄表中的恶意程序句柄信息,那么安全程序就无法获得恶意程序的进程路径,进而也就失去了对恶意程序的防御能力,从而使恶意程序可以对系统进行攻击。
技术实现要素:
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种进程路径获取方法,该方法保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
本申请的第二个目的在于提出一种进程路径获取装置。
本申请的第三个目的在于提出一种电子设备。
本申请的第四个目的在于提出一种存储介质。
本申请的第五个目的在于提出一种应用程序。
为达上述目的,本申请第一方面实施例提出了一种进程路径获取方法,包括:获取正在执行的操作对应的进程标识;
根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
在第一方面的一种可能的实现形式中,所述根据所述进程标识,获取正在执行的操作对应的进程环境块数据,包括:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
在第一方面的另一种可能的实现形式中,所述附加到正在执行的操作对应的进程空间,包括:
与所述正在执行的操作对应的进程空间进行绑定;
所述根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息之后,还包括:
解除与所述正在执行的操作对应的进程空间的绑定。
在第一方面的又一种可能的实现形式中,所述获取正在执行的操作对应的进程标识,包括:
通过调用获取当前进程标识的内核函数,获取正在执行的操作对应的进程标识。
在第一方面的再一种可能的实现形式中,所述根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,包括:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
本申请实施例的进程路径获取方法,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为达上述目的,本申请第二方面实施例提出了一种进程路径获取装置,包括:第一获取模块,用于获取正在执行的操作对应的进程标识;第二获取模块,用于根据所述进程标识,获取正在执行的操作对应的进程环境块数据;确定模块,用于根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
在第二方面的一种可能的实现形式中,所述第二获取模块,具体用于:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
在第二方面的另一种可能的实现形式中,所述第二获取模块,具体用于:
与所述正在执行的操作对应的进程空间进行绑定;
该进程路径获取装置,还包括:
解除模块,用于解除与所述正在执行的操作对应的进程空间的绑定。
在第二方面的又一种可能的实现形式中,所述第一获取模块,具体用于:
通过调用获取当前进程标识的内核函数,获取正在执行的操作对应的进程标识。
在第二方面的再一种可能的实现形式中,所述确定模块,具体用于:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
本申请实施例的进程路径获取装置,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为达上述目的,本申请第三方面实施例提出了一种电子设备,包括以下一个或多个组件:电路板、壳体、处理器,存储器,电源电路,显示屏,音频组件,输入/输出(I/O)的接口,传感器组件、以及通信组件;其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述电子设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
获取正在执行的操作对应的进程标识;
根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
本申请实施例的电子设备,首先获取电子设备正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为达上述目的,本申请第四方面实施例提出了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
为达上述目的,本发明第五方面实施例提出了一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本申请一个实施例的进程路径获取方法的流程图;
图2是本申请另一个实施例的进程路径获取方法的流程图;
图3是本申请一个实施例的进程路径获取装置的结构示意图;
图4是本申请另一个实施例的进程路径获取装置的结构示意图;
图5是本申请一个实施例的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的进程路径获取方法、装置及电子设备。
图1是本申请一个实施例的进程路径获取方法的流程图。
如图1所示,该进程路径获取方法包括:
步骤101,获取电子设备中正在执行的操作对应的进程标识。
具体的,本实施例提供的进程路径获取方法的执行主体为本申请提供的进程路径获取装置。该装置可以被配置在具有操作系统、且可以安装其他程序或者应用的电子设备中,比如手机、计算机等等。
具体而言,进程路径获取装置可以实时监控电子设备中各个应用或者程序的运行情况,并在监测到任意一个应用或者程序在执行操作时,即可获取正在执行的操作对应的进程标识。
举例来说,若监测到电子设备中A进程在执行删除B文件的操作,则可以获取正在执行的操作者A的进程标识。
需要说明的是,进程路径获取装置可以通过监测,获取电子设备中所有应用或者程序执行的操作;或者,也可以仅监测异常或者非法操作,比如,进程路径获取装置在获取正在执行的操作对应的进程标识前,可以判断正在执行的操作是否是文件删除操作、进程创建操作、进程结束操作或模块加载操作等等,若是上述操作,再获取该操作对应的进程标识。
具体的,进程路径获取装置,可以通过调用获取当前进程标识的内核函数PsGetCurrentProcessId的方式,来获取正在执行的操作对应的进程标识。
步骤102,根据所述进程标识,获取所述正在执行的操作对应的进程环境块数据。
步骤103,根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
通常,由于应用或者程序在运行时,就会有对应的进程环境块(Process Environment Block,简称PEB)数据,且PEB中保存有应用或者程序进程所有的数据结构,因此,本申请实施例中,不使用系统中的获取进程路径的公共函数,而是通过获取当前操作对应的PEB数据,来获取正在执行的操作对应的进程路径信息,从而保证了可以可靠获取到恶意程序的进程路径信息,进而实现对恶意程序的防御和查杀。
具体的,由于正在执行的操作的PEB数据需要在该操作的进程空间中获取,因此上述步骤102,具体包括:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
具体的,可以根据当前操作对应的进程标识,通过调用系统内核函数PsLookupProcessByProcessId,来获取正在执行的操作对应的进程结构块数据(EPROCESS),进而再根据进程结构块数据,通过调用内核函数KeStackAttachProcess,附加到正在执行的操作对应的进程空间,即与所述正在执行的操作对应的进程空间进行绑定,然后再根据进程结构块数据,通过调用内核函数PsGetProcessPeb,获取正在执行的操作对应的PEB。
在PEB结构中,有一个Peb->ProcessParameters字段的结构指针,其结构类型为RTL_USER_PROCESS_PARAMETERS,其中有个ImagePathName就是进程的路径信息。进程路径获取装置,在获得到正在执行的操作对应的PEB后,即可通过查询所述进程环境块数据中预设的字段信息(ImagePathName),来确定所述正在执行的操作对应的进程路径信息。比如,获取的进程路径样式可以如:C:\windows\system32\reg.exe。
本申请实施例的进程路径获取方法,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
图2是本申请另一个实施例的进程路径获取方法的流程图。
如图2所示,在上述步骤103之后,该进程路径获取方法还包括:
步骤201,解除与所述正在执行的操作对应的进程空间的绑定。
具体的,进程路径获取装置,在与正在执行的操作对应的进程空间进行绑定后,才能获取到当前操作对应的进程路径,之后,即可解除与正在执行的操作对应的进程空间的绑定,从而返回系统进程空间,进而再根据正在执行的操作对应的进程路径,判断正在执行的操作是否非法,进而对正在执行的操作进程处理。
其中,进程路径获取装置,可以通过调用内核函数KeUnstackDetachProcess,来解除与正在执行的操作对应的进程空间的绑定。
本申请实施例的进程路径获取方法,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,之后,再解除与正在执行的操作对应的进程空间的绑定。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
为了实现上述实施例,本申请还提出一种进程路径获取装置。
图3是本申请一个实施例的进程路径获取装置的结构示意图。
如图3所示,该进程路径获取装置包括:
第一获取模块31,用于获取电子设备中正在执行的操作对应的进程标识;
第二获取模块32,用于根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
确定模块33,用于根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
具体的,本实施例提供的进程路径获取装置,用于执行上述实施例提供的进程路径获取方法。
其中,所述第一获取模块31,具体用于:
通过调用获取当前进程标识的内核函数PsGetCurrentProcessId,获取正在执行的操作对应的进程标识。
其中,所述第二获取模块32,具体用于:
根据所述进程标识,获取正在执行的操作对应的进程结构块数据;
在附加到正在执行的操作对应的进程空间后,根据所述进程结构块数据,获取所述正在执行的操作对应的进程环境块数据。
进一步地,进程环境块数据中包括当前操作的多个进程数据,其中,有一个Peb->ProcessParameters字段的结构指针,其结构类型为RTL_USER_PROCESS_PARAMETERS,其中有个ImagePathName就是进程的路径信息。因此,上述确定模块33,具体用于:
通过查询所述进程环境块数据中预设的字段信息,确定所述正在执行的操作对应的进程路径信息。
需要说明的是,前述对进程路径获取方法实施例的解释说明也适用于该实施例的进程路径获取装置,此处不再赘述。
本申请实施例的进程路径获取装置,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
图4是本申请另一个实施例的进程路径获取装置的结构示意图,如图4所示,基于图3所示实施例,该进程路径获取装置,还包括:
解除模块41,用于解除与所述正在执行的操作对应的进程空间的绑定。
具体的,进程路径获取装置,在与正在执行的操作对应的进程空间进行绑定后,才能获取到当前操作对应的进程路径,然后,即可解除与正在执行的操作对应的进程空间的绑定,从而返回系统进程空间,进而再根据正在执行的操作对应的进程路径,判断正在执行的操作是否非法,进而对正在执行的操作进程处理。
其中,进程路径获取装置,可以通过调用内核函数KeUnstackDetachProcess,来解除与正在执行的操作对应的进程空间的绑定。
需要说明的是,前述对进程路径获取方法实施例的解释说明也适用于该实施例的进程路径获取装置,此处不再赘述。
本申请实施例的进程路径获取装置,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息,之后,再解除与正在执行的操作对应的进程空间的绑定。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
图5是本申请一个实施例的电子设备的结构示意图。
如图5所示,该电子设备包括:以下一个或多个组件:电路板1、壳体2、处理器3,存储器4,电源电路5,显示屏6,音频组件7,输入/输出(I/O)的接口8,传感器组件9、以及通信组件10;其中,所述电路板1安置在所述壳体2围成的空间内部,所述处理器3和所述存储器4设置在所述电路板1上;所述电源电路5,用于为所述电子设备的各个电路或器件供电;所述存储器4用于存储可执行程序代码;所述处理器3通过读取所述存储器4中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行以下步骤:
获取电子设备中正在执行的操作对应的进程标识;
根据所述进程标识,获取正在执行的操作对应的进程环境块数据;
根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。
需要说明的是,前述对进程路径获取方法实施例的解释说明也适用于该实施例的电子设备,此处不再赘述。
本申请实施例的电子设备,首先获取电子设备中正在执行的操作对应的进程标识;然后再根据所述进程标识,获取正在执行的操作对应的进程环境块数据;再根据所述进程环境块数据,确定所述正在执行的操作对应的进程路径信息。由此,保证了安全程序可以准确获得恶意程序的进程路径信息,从而对恶意程序进行防护,提高了电子设备的安全性和可靠性。
基于上述实施例提供的进程路径获取方法,本申请实施例再提供一种存储介质,比如可以是只读存储器,磁盘或光盘等。
其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
进一步地,本申请实施例还提供一种应用程序,其中,所述应用程序用于在运行时执行本发明实施例所述的进程路径获取方法。
具体的,本申请实施例中的应用程序,可以采用任意语言实现,只要能实现本申请实施例提供的进程路径获取方法即可。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
- 还没有人留言评论。精彩留言会获得点赞!