[发明专利]恶意进程检测方法、装置、终端及计算机可读存储介质

权利要求书

1.一种恶意进程检测方法，其特征在于，包括：

通过内核层获取进程的第一进程信息和第二进程信息；所述第一进程信息为所述进程在系统调用前的进程信息；所述第二进程信息为所述进程在系统调用后的进程信息；

通过所述内核层根据所述第一进程信息和所述第二进程信息，判断所述进程是否为恶意进程。

2.根据权利要求1所述的方法，其特征在于，所述通过内核层获取进程的第一进程信息和第二进程信息，包括：

在系统调用前，通过所述内核层获取所述进程对应的进程结构体中进程信息作为所述第一进程信息；

执行系统调用，通过所述内核层获取所述进程对应的进程结构体中进程信息作为所述第二进程信息。

3.根据权利要求1或2所述的方法，其特征在于，所述进程信息包括进程用户标识UID、进程标识PID、有效用户编号EUID、全局唯一标识符GUID、设置用户标识SUID、和用户文件系统权限标识FSUID组成的集合中选择的至少一个。

4.根据权利要求1所述的方法，其特征在于，所述通过所述内核层根据所述第一进程信息和所述第二进程信息，判断所述进程是否为恶意进程，包括：

通过所述内核层判断所述第一进程信息和所述第二进程信息是否相同，

若所述第一进程信息和所述第二进程信息相同，则所述进程不是恶意进程；

若所述第一进程信息和所述第二进程信息不相同，则所述进程是恶意进程。

5.根据权利要求1所述的方法，其特征在于，所述第二进程信息包括所述进程对应的进程结构体中的第二地址，所述通过所述内核层根据所述第一进程信息和所述第二进程信息，判断所述进程是否为恶意进程，包括：

通过所述内核层判断所述第二地址是否超过内核层的地址范围，

若所述第二地址未超过内核层的地址范围，则所述进程不是恶意进程；

若所述第二地址超过内核层的地址范围，则所述进程是恶意进程。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在判定所述进程是恶意进程的情况下，通过所述内核层对所述进程进行防御操作，所述防御操作用于解除所述进程对系统的恶意攻击。

7.根据权利要求6所述的方法，其特征在于，所述通过所述内核层对所述进程进行防御操作，包括：

通过所述内核层对所述进程进行查杀处理；和/或，

通过所述内核层对所述进程所在的进程组进行查杀处理。

8.根据权利要求7所述的方法，其特征在于，所述通过所述内核层对所述进程进行查杀处理，包括：

通过所述内核层调用进程查杀函数发送强制自杀指令至所述进程，以结束所述进程；

所述通过所述内核层对所述进程所在的进程组进行查杀处理，包括：

通过所述内核层调用进程组查杀函数发送强制自杀指令至所述进程组，以结束所述进程组内所有进程。

9.根据权利要求1所述的方法，其特征在于，所述通过所述内核层根据所述第一进程信息和所述第二进程信息，判断所述进程是否为恶意进程，包括：

在满足检测条件的情况下，通过所述内核层根据所述第一进程信息和所述第二进程信息，判断所述进程是否为恶意进程；

所述检测条件包括：终端不具备ROOT权限，和/或所述终端未解除设备锁。

10.根据权利要求1所述的方法，其特征在于，所述第二进程信息包括所述进程对应的进程结构体中的第二UID，所述方法还包括：

在判定所述进程是恶意进程的情况下，通过所述内核层确定所述进程的进程类别；所述进程类别与所述第二UID相关；

通过所述内核层执行与所述进程类别对应的告警提示；所述告警提示用于提示用户有恶意攻击发生。