安全保护处理方法及装置的制造方法

安全保护处理方法及装置的制造方法
【专利摘要】本申请提出一种安全保护处理方法和装置，其中，该方法包括：截获调用系统信息查询函数的操作；判断所述系统信息查询函数查询的是否为系统进程信息；若是，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据；向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。通过本申请提供的安全保护处理方法和装置，实现了保护目标进程数据不会被获取，有效的保护了目标进程的安全，增强了系统的安全性。
【专利说明】
安全保护处理方法及装置
技术领域
[0001]本申请涉及安全防护技术领域，尤其涉及一种安全保护处理方法及装置。
【背景技术】
[0002]随着互联网技术发展，木马、病毒等恶意程序技术日益发展。恶意程序在攻击系统时，若获得了系统中重要程序的进程信息，即可通过关闭重要程序，比如关闭杀毒软件来绕过杀毒软件的防御，从而对系统进行攻击。

【发明内容】

[0003]本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
[0004]为此，本申请的第一个目的在于提出一种安全保护处理方法，该方法实现了保护目标进程数据不会被获取，有效的保护了目标进程的安全，增强了系统的安全性。
[0005]本申请的第二个目的在于提出一种安全保护处理装置。
[0006]为达上述目的，本申请第一方面实施例提出了一种安全保护处理方法，包括:截获调用系统信息查询函数的操作;判断所述系统信息查询函数查询的是否为系统进程信息；若是，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据；向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。
[0007]本申请实施例的安全保护处理方法，首先截获调用系统信息查询函数的操作，然后判断系统信息查询函数查询的是否为系统进程信息，若是，则在系统进程列表中去除目标进程数据后，再向调用系统信息查询函数的应用返回去除掉目标进程数据后的系统进程列表。由此，实现了保护目标进程数据不会被获取，有效的保护了目标进程的安全，增强了系统的安全性。
[0008]另外，根据本申请上述实施例的安全保护处理方法还可以具有如下附加的技术特征:
[0009]在一些示例中，所述判断所述系统信息查询函数查询的是否为系统进程信息，包括:
[0010]判断所述系统信息查询函数中的参数是否为预设的值；
[0011]若是，则确定所述系统信息查询函数查询的为系统进程信息。
[0012]在一些示例中，所述在获取到的系统进程列表中去除目标进程数据之前，还包括:
[0013]确定调用所述系统信息查询函数的应用与预设的列表中的应用信息匹配。
[0014]在一些示例中，所述向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表之前，还包括:
[0015]将所述目标进程数据所在位置对应的链表指针指向下一个节点。
[0016]在一些示例中，所述判断所述系统信息查询函数中的参数是否为预设的值之后，还包括:
[0017]若否，则返回与所述参数值对应的非进程信息数据。
[0018]在一些示例中，所述截获调用系统信息查询函数的操作，包括:
[0019]通过与所述系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作。
[0020]为达上述目的，本申请第二方面实施例提出了一种安全保护处理装置，包括:截获模块，用于截获调用系统信息查询函数的操作;判断模块，用于判断所述系统信息查询函数查询的是否为系统进程信息;去除模块，用于若系统信息查询函数查询的为系统进程信息，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据;返回模块，用于向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。
[0021]本申请实施例的安全保护处理装置，首先截获调用系统信息查询函数的操作，然后判断系统信息查询函数查询的信息是否为系统进程信息，若是，则在系统进程列表中去除目标进程数据后，再向调用系统信息查询函数的应用返回去除掉目标进程数据后的系统进程列表。由此，实现了保护目标进程数据不会被获取，有效的保护了目标进程的安全，增强了系统的安全性。
[0022]另外，根据本申请上述实施例的安全保护处理装置还可以具有如下附加的技术特征:
[0023]在一些示例中，所述判断模块，具体用于:
[0024]判断所述系统信息查询函数中的参数是否为预设的值；
[0025]若是，则确定所述系统信息查询函数查询的为系统进程信息。
[0026]在一些示例中，所述装置还包括:
[0027]确定模块，用于确定调用所述系统信息查询函数的应用与预设的列表中的应用信息匹配。
[0028]在一些示例中，所述装置还包括:
[0029]指向模块，用于将所述目标进程数据所在位置对应的链表指针指向下一个节点。
[0030]在一些示例中，所述返回模块，还用于:
[0031]若系统信息查询函数查询中的参数不是预设的值，则返回与所述参数值对应的非进程信息数据。
[0032]在一些示例中，所述截获模块，具体用于:
[0033]通过与所述系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作。
【附图说明】
[0034]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中:
[0035]图1是本申请一个实施例的安全保护处理方法的流程图；
[0036]图2是本申请另一个实施例的安全保护处理方法的流程图；
[0037]图3是本申请又一个实施例的安全保护处理方法的流程图；
[0038]图4是本申请一个实施例的安全保护处理装置的结构示意图；
[0039]图5是本申请另一个实施例的安全保护处理装置的结构示意图。
【具体实施方式】
[0040]下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。
[0041 ]下面参考附图描述本申请实施例的安全保护处理方法及装置。
[0042]图1是本申请一个实施例的安全保护处理方法的流程图。
[0043]如图1所示，该安全保护处理方法包括:
[0044]步骤1I，截获调用系统信息查询函数的操作。
[0045]具体的，本实施例提供的安全保护处理方法的执行主体为本申请提供的安全保护处理装置。该装置可以被配置在具有操作系统、且可以安装其他软件或者应用的终端中，比如手机、计算机等等。
[0046]其中，上述系统信息查询函数，可以为查询系统信息的系统内核函数。比如可以为ZwQuerySystemInformat1n内核函数，在查询系统进程信息时，该函数可以获得一个SYSTEM_PROCESSES结构数据，该结构中的NextEntryDelta字段，是指向下一个SYSTEM_PROCESSES结构数据，即是一个串行的链表信息数据，链表中保存系统中所有的进程信息。
[0047]当用户或者系统在查询系统信息时，都需要通过系统信息查询函数，此时安全保护处理装置，即可截获该操作。具体的，安全保护处理装置，可以通过挂钩系统信息查询函数的方式，实现对该操作的截获。即上述步骤101，包括:
[0048]通过与所述系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作。
[0049]具体的，可以首先查找系统服务描述符表(System Services Descriptor Table，简称SSDT)，确定系统信息查询函数的地址，使用钩子函数的地址替换系统信息查询函数的地址。在用户或者系统查询进程信息时，会首先经过钩子函数，从而即可截获调用系统信息查询函数的操作。
[0050]步骤102，判断所述系统信息查询函数查询的是否为系统进程信息。
[0051 ]具体的，系统信息查询函数中可能包括多个参数，本申请实施例中安全保护处理装置，可以根据系统信息查询函数中的用于表征查询的系统信息类型的参数的值，确定该系统信息查询函数查询的是否为系统进程信息。
[0052]相应的上述步骤102，包括:
[0053]判断所述系统信息查询函数中的参数是否为预设的值；
[0054]若是，则确定所述系统信息查询函数查询的为系统进程信息。
[0055]其中，预设的值指系统规定的，查询系统进程信息时的参数值。
[0056]举例来说，对于目前的系统而言，参数为5，表明查询的是系统进程信息，则预设的值为5。
[0057]步骤103，若是，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据。
[0058]其中，目标进程是指对终端的系统运行有重要作用的进程，可以为一个进程，也可以为多个进程。比如，目标进程可以为杀毒软件的进程，也可以为系统的核心进程。
[0059]具体的，安全保护处理装置中可以预先存储所有目标进程，当截获到查询系统信息的操作后，即可判断通过所述系统信息查询函数获取到的系统进程列表中，是否包括预先存储的目标进程，若包括，则可将目标进程数据清除。
[0060]其中，目标进程数据指与目标进程相关的所有数据，比如目标进程的名称、运行情况、存储位置等等。
[0061]步骤104，向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。
[0062]具体的，在将目标进程数据去除后，就可以向调用所述系统信息查询函数的应用返回去除掉目标进程数据后的系统进程列表，从而使调用系统信息查询函数的用户或者应用，无法获得目标进程数据，保护了目标进程数据的安全。
[0063]本申请实施例的安全保护处理方法，首先截获调用系统信息查询函数的操作，然后判断系统信息查询函数查询的是否为系统进程信息，若是，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据后，再向调用系统信息查询函数的应用返回去除掉目标进程数据后的系统进程列表。由此，实现了保护目标进程数据不会被获取，有效的保护了目标进程的安全，增强了系统的安全性。
[0064]图2是本申请另一个实施例的安全保护处理方法的流程图。
[0065]如图2所示，在步骤103之前，该安全保护处理方法还包括:
[0066]步骤201，确定调用所述系统信息查询函数的应用与预设的列表中的应用信息匹配。
[0067]其中，预设的列表中存储有各种恶意软件的信息，比如可以存储各种恶意软件的名称、进程或运行数据等。
[0068]具体的，可以在安全保护处理装置中存储预设的列表，当在截获到调用系统信息查询函数的操作，且在确定该函数中的第一参数为预设的值后，即可判断该操作对应的应用的信息是否在预设的列表中，若在，则说明该操作为恶意软件执行的操作，从而即可将目标进程数据去除，否则，可以直接返回包括目标进程数据的系统进程列表。
[0069]本申请实施例的安全保护处理方法，首先截获调用系统信息查询函数的操作，然后判断系统信息查询函数中的参数是否为预设的值，若是，进而在确定预设的列表中包括调用系统信息查询函数的应用对应的信息后，再在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据，进而向调用系统信息查询函数的应用返回去除掉目标进程数据后的系统进程列表。由此，实现了根据调用系统信息查询函数的应用，确定返回的进程数据，有效的保护了目标进程数据不会被恶意软件或应用获取，保护了目标进程数据的安全性，增强了系统的安全性。
[0070]图3是本申请又一个实施例的安全保护处理方法的流程图。
[0071 ]如图3所示，该安全保护处理方法包括:
[0072I步骤301，通过与所述系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作。
[0073]步骤302，判断所述系统信息查询函数中的参数是否为预设的值，若是，则执行步骤304，否则，执行步骤303。
[0074]步骤303，返回与所述参数值对应的非进程信息数据。
[0075]举例来说，若预设的值为5，则系统信息查询函数中的参数不为5时，可以向调用系统信息查询函数的应用返回非进程信息数据，比如，模块信息等。
[0076]需要说明的是，通常系统信息查询函数中，还可以包括用于指示返回数据结构的参数，则安全保护处理装置，可以根据该参数规定的结构，向调用系统信息查询函数的应用返回响应的数据。
[0077]步骤304，判断预设的列表中是否包括调用所述系统信息查询函数的应用对应的信息，若是，则执行步骤305，否则执行步骤308。
[0078]步骤305，在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据。
[0079]具体的，在确定调用系统信息查询函数的应用为恶意软件时，即可读取系统进程列表中各进程的名称，并将各进程的名称与目标进程依次进行比对，在确定系统进程列表中的进程名称与目标进程名称相同时，即可将相应的进程对应的数据去除。
[0080]步骤306，向调用所述系统信息查询函数的应用返回所述去除目标进程数据后的系统进程列表。
[0081]进一步地，在将目标进程数据去除后，系统进程列表中会出现空的链表，因此，该方法在上述步骤306之前，还包括:
[0082]步骤307，将所述目标进程数据所在位置对应的链表指针指向下一个节点。
[0083]举例来说，原来系统进程列表的链表指针为a->b->c->d，若目标进程数据存储在c处，则将c处的数据去除后，就可以将进程列表的链表指针改为a->b_>d。
[0084]步骤308，向调用所述系统信息查询函数的应用返回完整的系统进程列表。
[0085]具体的，若确定调用系统信息查询函数的应用不是恶意软件，那么就无需删除目标进程数据，而直接返回完整的系统进程列表。
[0086]本申请实施例的安全保护处理方法，首先通过与系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作，然后判断系统信息查询函数中的参数是否为预设的值，若是，则再判断预设的列表中是否包括调用系统信息查询函数的应用，若包括，则向调用系统信息查询函数的应用返回去除目标进程数据后的系统进程列表，否则，向调用系统信息查询函数的应用返回完整的系统进程列表。由此，实现了根据调用系统信息查询函数的应用的类型、调用的系统信息查询函数中的参数，确定向调用系统信息查询函数的应用返回的数据类型和内容，从而有效的保护了目标进程数据不会被恶意软件或应用获取，增强了系统的安全性。
[0087]为了实现上述实施例，本申请还提出一种安全保护处理装置。
[0088]图4是本申请一个实施例的安全保护处理装置的结构示意图。
[0089]如图4所示，该安全保护处理装置包括:
[0090]截获模块41，用于截获调用系统信息查询函数的操作；
[0091]判断模块42，用于判断所述系统信息查询函数查询的是否为系统进程信息；
[0092]去除模块43，用于若系统信息查询函数查询的为系统进程信息，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据；
[0093]返回模块44，用于向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。
[0094]具体的，本实施例提供的安全保护处理装置，用于执行上述实施例提供的安全保护处理方法。
[0095]其中，所述截获模块41，具体用于:
[0096]通过与所述系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作。
[0097]其中，所述判断模块42，具体用于
[0098]判断所述系统信息查询函数中的参数是否为预设的值；
[0099]若是，则确定所述系统信息查询函数查询的为系统进程信息。
[0100]需要说明的是，前述对安全保护处理方法实施例的解释说明也适用于该实施例的安全保护处理装置，此处不再赘述。
[0101]本申请实施例的安全保护处理装置，首先截获调用系统信息查询函数的操作，然后判断系统信息查询函数查询的是否为系统进程信息，若是，则去除系统进程列表中的目标进程数据后，再向调用系统信息查询函数的应用返回去除掉目标进程数据后的系统进程列表。由此，实现了保护目标进程数据不会被获取，有效的保护了目标进程的安全，增强了系统的安全性。
[0102]图5是本申请另一个实施例的安全保护处理装置的结构示意图，如图5所示，基于图4所示实施例，该安全保护处理装置，还包括:
[0103]确定模块51，用于确定调用所述系统信息查询函数的应用与预设的列表中的应用信息匹配。
[0104]其中，预设的列表中存储有各种恶意软件的信息，比如可以存储各种恶意软件的名称、进程或运行数据等。
[0105]进一步地，该安全保护处理装置，还包括:
[0106]指向模块52，用于将所述目标进程数据所在位置对应的链表指针指向下一个节点。
[0107]在一种可能的实施例中，若系统信息查询函数中的参数并不是预设的值，则上述返回模块44，还用于:
[0108]若系统信息查询函数查询中的参数不是预设的值，，则返回与所述参数值对应的非进程信息数据。
[0109]需要说明的是，前述对安全保护处理方法实施例的解释说明也适用于该实施例的安全保护处理装置，此处不再赘述。
[0110]本申请实施例的安全保护处理方法，首先通过与系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作，然后判断系统信息查询函数中的参数是否为预设的值，若是，则再判断预设的列表中是否包括调用系统信息查询函数的应用，若包括，则向调用系统信息查询函数的应用返回去除目标进程数据后的系统进程列表，否则，向调用系统信息查询函数的应用返回完整的系统进程列表。由此，实现了根据调用系统信息查询函数的应用的类型、调用的系统信息查询函数中的参数，确定向调用系统信息查询函数的应用返回的数据类型和内容，从而有效的保护了目标进程数据不会被恶意软件或应用获取，增强了系统的安全性。
[0111]在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0112]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。
[0113]应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。
[0114]本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
[0115]上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
【主权项】
1.一种安全保护处理方法，其特征在于，包括以下步骤: 截获调用系统信息查询函数的操作； 判断所述系统信息查询函数查询的是否为系统进程信息； 若是，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据； 向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。2.如权利要求1所述的安全保护处理方法，其特征在于，所述判断所述系统信息查询函数查询的是否为系统进程信息，包括: 判断所述系统信息查询函数中的参数是否为预设的值； 若是，则确定所述系统信息查询函数查询的为系统进程信息。3.如权利要求1所述的安全保护处理方法，其特征在于，所述在获取到的系统进程列表中去除目标进程数据之前，还包括: 确定调用所述系统信息查询函数的应用与预设的列表中的应用信息匹配。4.如权利要求1所述的安全保护处理方法，其特征在于，所述向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表之前，还包括: 将所述目标进程数据所在位置对应的链表指针指向下一个节点。5.如权利要求2所述的安全保护处理方法，其特征在于，所述判断所述系统信息查询函数中的参数是否为预设的值之后，还包括: 若否，则返回与所述参数值对应的非进程信息数据。6.如权利要求1-5任一所述的方法，其特征在于，所述截获调用系统信息查询函数的操作，包括: 通过与所述系统信息查询函数关联的钩子，截获调用系统信息查询函数的操作。7.一种安全保护处理装置，其特征在于，包括: 截获模块，用于截获调用系统信息查询函数的操作； 判断模块，用于判断所述系统信息查询函数查询的是否为系统进程信息； 去除模块，用于若系统信息查询函数查询的为系统进程信息，则在所述系统信息查询函数获取到的系统进程列表中去除目标进程数据； 返回模块，用于向调用所述系统信息查询函数的应用返回去除所述目标进程数据后的系统进程列表。8.如权利要求7所述的安全保护处理装置，其特征在于，所述判断模块，具体用于: 判断所述系统信息查询函数中的参数是否为预设的值； 若是，则确定所述系统信息查询函数查询的为系统进程信息。9.如权利要求7所述的安全保护处理装置，其特征在于，还包括:确定模块，用于确定调用所述系统信息查询函数的应用与预设的列表中的应用信息匹配。10.如权利要求7所述的安全保护处理装置，其特征在于，还包括: 指向模块，用于将所述目标进程数据所在位置对应的链表指针指向下一个节点。
【文档编号】G06F21/55GK106022118SQ201610340977
【公开日】2016年10月12日
【申请日】2016年5月20日
【发明人】李文靖
【申请人】北京金山安全软件有限公司