[发明专利]一种进程保护方法、装置、终端设备及存储介质

权利要求书

1.一种进程保护方法，所述方法应用于安全保护壳，其特征在于，所述方法包括：

获取来自第一进程对lsass进程的通信请求；

响应所述通信请求获取由所述安全保护壳创建的进程白名单，并根据所述进程白名单确定所述第一进程的访问权限；

根据所述访问权限向所述第一进程返回与所述访问权限匹配的lsass进程的真实或伪装内存地址，以控制所述第一进程根据所述真实或伪装内存地址与所述lsass进程进行通信；

其中，所述根据所述进程白名单确定所述第一进程的访问权限，包括：

若所述第一进程在所述进程白名单里，则确定所述第一进程的访问权限为合法权限；

若所述第一进程不在所述进程白名单里，则确定所述第一进程的访问权限为非法权限；

其中，所述根据所述访问权限向所述第一进程返回与所述访问权限匹配的lsass进程的真实或伪装内存地址，以控制所述第一进程根据所述真实或伪装内存地址与所述lsass进程进行通信，包括：

所述lsass进程包括真实lsass进程以及对应的伪装lsass进程；

若所述访问权限为合法权限，则向所述第一进程返回所述真实lsass进程的真实内存地址，以控制所述第一进程与所述真实lsass进程进行通信；

若所述访问权限为非法权限，则向所述第一进程返回所述伪装lsass进程的伪装内存地址，以控制所述第一进程与所述伪装lsass进程进行通信。

2.根据权利要求1所述的方法，其特征在于，所述向所述第一进程返回所述真实lsass进程的真实内存地址之前，所述方法还包括：

获取所述伪装lsass进程的伪装内存地址；

根据所述伪装lsass进程的伪装内存地址查询所述安全保护壳中的内存地址映射表；

根据所述内存地址映射表获取所述伪装lsass进程的伪装内存地址对应的所述真实lsass进程的真实内存地址。

3.根据权利要求1所述的方法，其特征在于，所述获取来自第一进程对真实lsass进程的通信请求之前，所述方法还包括：

获取安全保护沙盒记录的历史进程与所述伪装lsass进程的交互行为，所述安全保护沙盒由所述安全保护壳创建，所述安全保护沙盒用于提供所述伪装lsass进程与所述历史进程进行通信的虚拟环境；

若所述交互行为不包括获取所述伪装lsass进程的句柄并定位所述伪装lsass进程中各个组件的内存地址，则将所述历史进程加入所述进程白名单。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若检测到第二进程获取所述真实lsass进程的句柄并定位所述真实lsass进程中各个组件的真实内存地址，则向所述第二进程返回由所述安全保护壳生成的随机内存地址。

5.根据权利要求4所述的方法，其特征在于，所述向所述第二进程返回由所述安全保护壳生成的随机内存地址之后，所述方法还包括：

在经历预设时长后，通过所述安全保护壳重新生成随机内存地址。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述真实lsass进程存储有用户密码；

对所述真实lsass进程中的所述用户密码进行折半、反转处理，得到新密码；

将所述新密码利用信息摘要算法MD5加密，得到加密值；

将所述加密值存储在所述真实lsass进程的组件中。