[发明专利]一种实时防护中检测进程创建的方法及系统

说明书

技术领域

本发明涉及进程创建的检测技术，尤其涉及一种实时防护中检测进程创建的方法及系统。

背景技术

目前，各种实时防护类软件都会监控进程的创建，所应用的场景有两种：一、记录进程ID和进程路径等相关信息，用于之后主动防御进行事件拦截时可以很容易的根据进程ID找到进程的相关信息；二、在进程创建时用于应用层对进程的执行环境、系统内存等进行扫描检测，当经检测确认进程安全时才允许进程继续执行，否则将会阻止进程的启动。针对第二种应用场景而言，现有技术中一般都是在进程被创建时由驱动程序通知应用层进行扫描检测，在驱动程序等待应用层的检测结果的这段时间内，会中断创建者进程的继续执行，当应用层将检测结果通知驱动程序或等待超时发生时，才继续创建者进程的执行。

采用现有技术所存在的缺点是：在驱动程序等待应用层检测结果的这段时间内，由于需中断创建者进程的执行，而作为所有用户进程创建者的创建者进程是所有用户进程的父进程，因此，作为父进程的创建者进程一旦被中断执行，会导致其所控制进程的一系列连锁反应，比如容易出现桌面花屏、无法再新建进程等问题。

发明内容

有鉴于此，本发明的主要目的在于提供一种实时防护中检测进程创建的方法及系统，无需中断创建者进程，也能实现对新建进程的检测。

为达到上述目的，本发明的技术方案是这样实现的：

一种实时防护中检测进程创建的方法，该方法包括：新建进程后，驱动程序将应用层进行检测时所需要的新建进程的相关信息上报给应用层，通知应用层进行扫描检测；在应用层根据所述新建进程的相关信息进行扫描检测时将所述新建进程挂起。

其中，该方法还包括：所述应用层将检测结果返回所述驱动程序，当所述检测结果为安全时，所述驱动程序将所述新建进程恢复。

其中，进行所述上报前，该方法还包括：所述驱动程序加载时注册进程创建的回调通知函数，每当新进程创建时会调用已注册的所述进程创建的回调通知函数。

其中，将所述新建进程挂起后，该方法还包括：退出所述进程创建的回调通知函数。

其中，将所述新建进程挂起具体包括：所述驱动程序通过调用Windows内核未导出的用于新建进程挂起的应用编程接口(API)，将所述新建进程挂起。

其中，将所述新建进程恢复具体包括：所述驱动程序通过调用Windows内核未导出的用于新建进程恢复的API，将之前被挂起的新建进程重新恢复，并继续执行所述新建进程。

一种实时防护中检测进程创建的系统，该系统包括：上报单元、检测单元、进程挂起单元；其中，

所述上报单元，用于新建进程后，驱动程序将应用层进行检测时所需要的新建进程的相关信息上报给应用层，通知应用层进行扫描检测；

所述检测单元，用于应用层根据所述新建进程的相关信息进行扫描检测；

所述进程挂起单元，用于在应用层进行扫描检测时，所述驱动程序将所述新建进程挂起。

其中，该系统还包括：进程恢复单元，用于所述应用层将检测结果返回所述驱动程序，当所述检测结果为安全时，所述驱动程序将所述新建进程恢复。

其中，所述进程挂起单元，进一步用于所述驱动程序通过调用Windows内核未导出的用于新建进程挂起的API，将所述新建进程挂起。

其中，所述进程恢复单元，进一步用于所述驱动程序通过调用Windows内核未导出的用于新建进程恢复的API，将之前被挂起的新建进程重新恢复，并继续执行所述新建进程。

本发明新建进程后，驱动程序将应用层进行检测时所需要的新建进程的相关信息上报给应用层，通知应用层进行扫描检测；在应用层根据新建进程的相关信息进行扫描检测时将新建进程挂起。

采用本发明，由于是将新建进程挂起，而不是一直等待直到应用层返回检测结果，因此，不像现有技术需在等待的这段时间中断创建者进程的执行，而是在新建进程挂起的这段时间内可以确保创建者进程的继续执行。从而，无需中断创建者进程，也能实现对新建进程的检测。

附图说明

图1为本发明方法实施例的实现流程示意图；

图2为本发明系统实施例的组成结构示意图。

具体实施方式

本发明的基本思想是：新建进程后，驱动程序将应用层进行检测时所需要的新建进程的相关信息上报给应用层，通知应用层进行扫描检测；在应用层根据新建进程的相关信息进行扫描检测时将新建进程挂起。

为使本发明的目的、技术方案和优点更加清楚明白，以下举实施例并参照附图，对本发明进一步详细说明。