一种进程操作的处理方法及装置的制造方法
【技术领域】
[0001]本发明涉及病毒技术领域,特别涉及一种进程操作的处理方法及装置。
【背景技术】
[0002]目前,当服务器中了一种特殊的木马病毒后,关闭该木马病毒的进程后,该木马病毒的进程仍会自动重启,并且更换成新的进程名,因此,该病毒并无法彻底清除。
[0003]且在系统设备目录的根目录(.dev)中发现有可能是病毒的进程写入的可疑文件是非系统文件,且删除该文件后,该文件还会自动生成,此外,这些文件的文件名也是随机的。
【发明内容】
[0004]本发明提供一种进程操作的处理方法及装置,用通过禁止病毒的进程在目标目录下进行写操作来消耗该病毒的资源来使得病毒自行崩溃,从而彻底清除该病毒。
[0005]本发明提供一种进程操作的处理方法,包括:监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
[0006]当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
[0007]禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
[0008]判断是否监听到所述目标进程对目标目录的写文件操作;
[0009]当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
[0010]关闭所述当前运行进程。
[0011 ] 在一个实施例中,在确定所述当前运行进程为目标病毒所使用的目标进程之前,所述方法还包括:
[0012]确定访问所述固定的访问端口和固定的IP地址的多个进程;
[0013]对所述多个进程的名称进行识别;
[0014]所述确定所述当前运行进程为目标病毒所使用的目标进程,包括:
[0015]当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
[0016]在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
[0017]在一个实施例中,所述规律至少包括下列之一:
[0018]相同位置对应的部分名称相同;
[0019]相同位置对应的部分名称为数字;
[0020]相同位置对应的部分名称符合递增规律;
[0021]相同位置对应的部分名称符合递减规律;
[0022]相同位置对应的部分名称构成一个算法。
[0023]在一个实施例中,所述目标目录包括:本地操作系统的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
[0024]所述方法还包括:
[0025]在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作;
[0026]当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作时,不再锁定所述目标目录。
[0027]本发明还提供一种进程操作的处理装置,包括:监听模块,用于监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;
[0028]第一确定模块,用于当所述当前运行进程的访问端口和访问IP地址分别为所述固定的访问端口和所述固定的IP地址时,确定所述当前运行进程为目标病毒所使用的目标进程;
[0029]禁止模块,用于禁止所述目标进程通过所述固定的访问端口访问所述固定的IP地址;
[0030]第一判断模块,用于判断是否监听到所述目标进程对目标目录的写文件操作;
[0031]锁定模块,用于当监听到所述目标进程对所述目标目录的所述写文件操作时,锁定所述目标目录,以禁止所述目标进程对所述目标目录的所述写文件操作;
[0032]关闭模块,用于关闭所述当前运行进程。
[0033]在一个实施例中,所述装置还包括:
[0034]第二确定模块,用于在确定所述当前运行进程为目标病毒所使用的目标进程之前,确定访问所述固定的访问端口和固定的IP地址的多个进程;
[0035]识别模块,用于对所述多个进程的名称进行识别;
[0036]所述第一确定模块,包括:
[0037]检查子模块,用于当所述多个进程的名称存在规律时,根据所述规律对新启动的当前运行进程进行检查;
[0038]确定子模块,用于在所述新启动的当前运行进程的名称符合所述规律时,确定所述当前运行进程为目标病毒所使用的目标进程。
[0039]在一个实施例中,所述规律至少包括下列之一:
[0040]相同位置对应的部分名称相同;
[0041]相同位置对应的部分名称为数字;
[0042]相同位置对应的部分名称符合递增规律;
[0043]相同位置对应的部分名称符合递减规律;
[0044]相同位置对应的部分名称构成一个算法。
[0045]在一个实施例中,所述目标目录包括:本地操作系统的根目录、配置目录、工作目录和用户目录中的至少一种目录,以及
[0046]所述装置还包括:
[0047]第二判断模块,用于在锁定所述目标目录后,判断是否监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作;
[0048]处理模块,用于当没有监听到所述目标进程对所述工作目录的写文件操作和/或对所述用户目标的写文件操作时,不再锁定所述目标目录。
[0049]本公开的实施例提供的技术方案可以包括以下有益效果:
[0050]通过禁止病毒的进程通过固定的访问端口访问固定的IP地址,可以切断病毒与远端的IP地址所对应的设备的连接,防止该病毒将本地的数据传输至远端的IP地址所对应的设备,而影响本地设备的安全性,而通过禁止病毒的进程在目标目录下进行写文件操作来消耗该病毒的资源来使得病毒自行崩溃,从而彻底清除该病毒,另外,通过关闭病毒的进程可以进一步防止病毒的进程运行过程中消耗本地设备的资源,影响本地设备的使用安全性。
[0051]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
[0052]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【附图说明】
[0053]附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
[0054]图1是根据一示例性实施例示出的一种进程操作的处理方法的流程图。
[0055]图2是根据一示例性实施例示出的另一种进程操作的处理方法的流程图。
[0056]图3是根据一示例性实施例示出的一种进程操作的处理装置的框图。
[0057]图4是根据一示例性实施例示出的另一种进程操作的处理装置的框图。
[0058]图5是根据一示例性实施例示出的又一种进程操作的处理装置的框图。
【具体实施方式】
[0059]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0060]相关技术中,当服务器中了一种特殊的木马病毒后,关闭该木马病毒的进程后,该木马病毒的进程仍会自动重启,并且更换成新的进程名,因此,该病毒并无法彻底清除。且在系统设备目录的根目录Cdev)中发现有可能是病毒的进程写入的可疑文件是非系统文件,且删除该文件后,该文件还会自动生成,此外,这些文件的文件名也是随机的。
[0061]为了解决上述技术问题,本公开实施例提供了一种进程操作的处理方法,该方法适用于病毒操作处理程序、系统或装置中,其中,病毒所在的本地设备可以是服务器、也可以是终端,如图1所示,步骤S101,监听当前运行进程的访问端口和访问IP地址是否分别为固定的访问端口和固定的IP地址;其中,系统在确定该固定的访问端口和固定的IP地址时,是在一定的周期内,将多个进程使用的访问端口进行比较,同时将访问的远端IP地址进行比较,以判断在该一定的周期内,多个进程使用的访问端口是否相同,以及多个进程访问的远端IP地址是否相同,若在该一定的周期内,多个进程使用的访问端口相同,则将该访问端口进行记录并作为一个固定的访问端口,以便于之后判断