[发明专利]进程处理方法、装置、计算机设备和可读存储介质

权利要求书

1.一种进程处理方法，其特征在于，包括：

当检测到第一系统进程创建子进程时，在预存的进程记录中，查询所述子进程的真实父进程，其中，所述进程记录包括源进程和目标进程的对应关系，所述源进程为向第二系统进程发送进程创建消息的非系统进程，所述目标进程为所述进程创建消息指示创建的进程，当所述子进程与所述目标进程相同时，所述目标进程对应的源进程为所述子进程的真实父进程，所述第一系统进程和所述第二系统进程可以相同，也可以不同；以及

根据所述真实父进程确定是否要拦截所述子进程的创建。

2.根据权利要求1所述的进程处理方法，其特征在于，所述进程处理方法还包括：

获取消息传递函数传递的目标消息；

判断所述目标消息是否为所述进程创建消息；

若所述目标消息为所述进程创建消息，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录。

3.根据权利要求2所述的进程处理方法，其特征在于，

获取消息传递函数传递的目标消息的步骤包括：对所述消息传递函数进行hook，以获取所述源进程发送所述目标消息的参数；

判断所述目标消息是否为所述进程创建消息的步骤包括通过hook函数执行以下步骤：

对所述参数进行解析，以判断所述源进程访问的接口是否为预设接口；

若所述接口为所述预设接口，判断所述源进程访问的方法是否为执行方法；

若所述方法为所述执行方法，判断所述方法执行的内容是否为创建进程，其中，若所述方法执行的内容为创建进程，则确定所述目标消息为所述进程创建消息。

4.根据权利要求3所述的进程处理方法，其特征在于，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录的步骤包括：

从所述目标消息的消息内容中获取被创建的进程的名称；

获取所述源进程的PID；以及

将所述名称和所述PID写入所述进程记录。

5.根据权利要求4所述的进程处理方法，其特征在于，

获取消息传递函数传递的目标消息的步骤包括：获取NtAlpcSendWaitReceivePort函数传递的目标消息；

判断所述源进程访问的接口是否为预设接口的步骤包括：判断所述源进程访问的接口是否为IWbemService接口；

所述源进程访问的方法是否为执行方法的步骤包括：所述源进程访问的方法的位置是否为0x18或0x19；

所述源进程用于通过所述NtAlpcSendWaitReceivePort函数发送所述目标消息至svchost进程，所述svchost进程用于转发所述目标消息至WmiPrvse进程；

所述第一系统进程为所述WmiPrvse进程，所述第二系统进程为所述svchost进程。

6.根据权利要求1至5中任一项所述的进程处理方法，其特征在于，所述进程处理方法还包括：

在驱动程序中注册创建进程回调通知，以检测进程创建事件；

当检测到进程创建事件时，回调处理函数判断创建子进程的进程是否为第一系统进程。

7.根据权利要求1至5中任一项所述的进程处理方法，其特征在于，根据所述真实父进程确定是否要拦截所述子进程的创建的步骤包括：

获取所述真实父进程的安全信息；

当所述安全信息显示所述真实父进程属于可信进程时，允许所述第一系统进程创建所述子进程；

当所述安全信息显示所述真实父进程属于不可信进程时，拦截所述第一系统进程创建所述子进程。