[发明专利]进程处理方法、装置、计算机设备和可读存储介质

说明书

本发明提供了一种进程处理方法、装置、计算机设备和可读存储介质。该方法包括：当检测到第一系统进程创建子进程时，在预存的进程记录中，查询子进程的真实父进程，其中，进程记录包括源进程和目标进程的对应关系，源进程为向第二系统进程发送进程创建消息的非系统进程，目标进程为进程创建消息指示创建的进程，当子进程与目标进程相同时，目标进程对应的源进程为子进程的真实父进程，第一系统进程和第二系统进程可以相同，也可以不同；以及根据真实父进程确定是否要拦截子进程的创建。通过本发明，能够提升进程处理过程的灵活性和安全防御能力。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种进程处理方法、装置、计算机设备和可读存储介质。

背景技术

随着手机、个人电脑以及可穿戴智能终端等网络终端设备在生活和工作中的日益普及，如何保障信息安全也成为当前首要解决的安全问题。目前主流安全软件都会自己维护一个进程链表，来标识父子进程关系，当需要对子进程执行的可疑行为进行判断时，通常会找到父进程的信息进行验证，只要父进程是可信的，则子进程的行为就认为是可信的。

但是，发明人研究发现，当恶意进程通过可信进程创建子进程实时非法操作时，由于进程链表中该子进程的父进程是可信进程，导致该子进程实时的非法操作并不能被拦截到，因此，如何提升进程处理过程中的安全防御能力，成为本领域亟需解决的技术问题。

发明内容

本发明的目的是提供一种进程处理方法、装置、计算机设备和可读存储介质，用于解决现有技术中的技术问题。

一方面，为实现上述目的，本发明提供了一种进程处理方法。

该进程处理方法包括：当检测到第一系统进程创建子进程时，在预存的进程记录中，查询所述子进程的真实父进程，其中，所述进程记录包括源进程和目标进程的对应关系，所述源进程为向第二系统进程发送进程创建消息的非系统进程，所述目标进程为所述进程创建消息指示创建的进程，当所述子进程与所述目标进程相同时，所述目标进程对应的源进程为所述子进程的真实父进程，所述第一系统进程和所述第二系统进程可以相同，也可以不同；以及根据所述真实父进程确定是否要拦截所述子进程的创建。

进一步地，所述进程处理方法还包括：获取消息传递函数传递的目标消息；判断所述目标消息是否为所述进程创建消息；若所述目标消息为所述进程创建消息，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录。

进一步地，获取消息传递函数传递的目标消息的步骤包括：对所述消息传递函数进行hook，以获取所述源进程发送所述目标消息的参数；判断所述目标消息是否为所述进程创建消息的步骤包括通过hook函数执行以下步骤：对所述参数进行解析，以判断所述源进程访问的接口是否为预设接口；若所述接口为所述预设接口，判断所述源进程访问的方法是否为执行方法；若所述方法为所述执行方法，判断所述方法执行的内容是否为创建进程，其中，若所述方法执行的内容为创建进程，则确定所述目标消息为所述进程创建消息。

进一步地，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录的步骤包括：从所述目标消息的消息内容中获取被创建的进程的名称；获取所述源进程的PID；以及将所述名称和所述PID写入所述进程记录。