进程处理方法、装置、计算机设备和可读存储介质与流程

1.本发明涉及信息安全技术领域，尤其涉及一种进程处理方法、装置、计算机设备和可读存储介质。


背景技术：

2.随着手机、个人电脑以及可穿戴智能终端等网络终端设备在生活和工作中的日益普及，如何保障信息安全也成为当前首要解决的安全问题。目前主流安全软件都会自己维护一个进程链表，来标识父子进程关系，当需要对子进程执行的可疑行为进行判断时，通常会找到父进程的信息进行验证，只要父进程是可信的，则子进程的行为就认为是可信的。
3.但是，发明人研究发现，当恶意进程通过可信进程创建子进程实时非法操作时，由于进程链表中该子进程的父进程是可信进程，导致该子进程实时的非法操作并不能被拦截到，因此，如何提升进程处理过程中的安全防御能力，成为本领域亟需解决的技术问题。


技术实现要素：

4.本发明的目的是提供一种进程处理方法、装置、计算机设备和可读存储介质，用于解决现有技术中的技术问题。
5.一方面，为实现上述目的，本发明提供了一种进程处理方法。
6.该进程处理方法包括：当检测到第一系统进程创建子进程时，在预存的进程记录中，查询所述子进程的真实父进程，其中，所述进程记录包括源进程和目标进程的对应关系，所述源进程为向第二系统进程发送进程创建消息的非系统进程，所述目标进程为所述进程创建消息指示创建的进程，当所述子进程与所述目标进程相同时，所述目标进程对应的源进程为所述子进程的真实父进程，所述第一系统进程和所述第二系统进程可以相同，也可以不同；以及根据所述真实父进程确定是否要拦截所述子进程的创建。
7.进一步地，所述进程处理方法还包括：获取消息传递函数传递的目标消息；判断所述目标消息是否为所述进程创建消息；若所述目标消息为所述进程创建消息，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录。
8.进一步地，获取消息传递函数传递的目标消息的步骤包括：对所述消息传递函数进行hook，以获取所述源进程发送所述目标消息的参数；判断所述目标消息是否为所述进程创建消息的步骤包括通过hook函数执行以下步骤：对所述参数进行解析，以判断所述源进程访问的接口是否为预设接口；若所述接口为所述预设接口，判断所述源进程访问的方法是否为执行方法；若所述方法为所述执行方法，判断所述方法执行的内容是否为创建进程，其中，若所述方法执行的内容为创建进程，则确定所述目标消息为所述进程创建消息。
9.进一步地，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录的步骤包括：从所述目标消息的消息内容中获取被创建的进程的名称；获取所述源进程的pid；以及将所述名称和所述pid写入
所述进程记录。
10.进一步地，获取消息传递函数传递的目标消息的步骤包括：获取ntalpcsendwaitreceiveport函数传递的目标消息；判断所述源进程访问的接口是否为预设接口的步骤包括：判断所述源进程访问的接口是否为iwbemservice接口，其接口guid唯一标识符为{9556dc99-828c-11cf-a37e-00aa003240c7}；所述源进程访问的方法是否为执行方法的步骤包括：所述源进程访问的方法的位置是否为0x18(方法名为execmethod)或0x19(方法名为execmethodasync)；所述源进程用于通过所述ntalpcsendwaitreceiveport函数发送所述目标消息至svchost进程，所述svchost进程用于转发所述目标消息至wmiprvse进程；所述第一系统进程为所述wmiprvse进程，所述第二系统进程为所述svchost进程。
11.进一步地，所述进程处理方法还包括：在驱动程序中注册创建进程回调通知，以检测进程创建事件；当检测到进程创建事件时，回调处理函数判断创建子进程的进程是否为第一系统进程。
12.进一步地，根据所述真实父进程确定是否要拦截所述子进程的创建的步骤包括：获取所述真实父进程的安全信息；当所述安全信息显示所述真实父进程属于可信进程时，允许所述第一系统进程创建所述子进程；当所述安全信息显示所述真实父进程属于不可信进程时，拦截所述第一系统进程创建所述子进程。
13.另一方面，为实现上述目的，本发明提供了一种进程处理装置。
14.该进程处理装置包括：查询模块，用于当检测到第一系统进程创建子进程时，在预存的进程记录中，查询所述子进程的真实父进程，其中，所述进程记录包括源进程和目标进程的对应关系，所述源进程为向第二系统进程发送进程创建消息的非系统进程，所述目标进程为所述进程创建消息指示创建的进程，当所述子进程与所述目标进程相同时，所述目标进程对应的源进程为所述子进程的真实父进程，所述第一系统进程和所述第二系统进程可以相同，也可以不同；以及处理模块，用于根据所述真实父进程确定是否要拦截所述子进程。
15.又一方面，为实现上述目的，本发明还提供一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行计算机程序时实现上述方法的步骤。
16.又一方面，为实现上述目的，本发明还提供计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。
17.本发明提供的进程处理方法、装置、计算机设备和可读存储介质，当检测到系统进程创建子进程时，在预存的进程记录中，查询该子进程的真实父进程，具体地，进程记录包括源进程和目标进程的对应关系，该源进程为发送进程创建消息的非系统进程，该目标进程为进程创建消息指示创建的进程，在该进程记录中首先查询与子进程相同的目标进程，进而确定查询到的目标进程对应的源进程即为子进程的真实父进程，从而可根据该真实父进程确定是否要拦截子进程的创建，对进程创建过程的控制更加灵活，能够拦截恶意进程创建子进程进行违法行为。通过本发明，可以灵活控制非系统进程借由系统进程创建子进程，能够拦截并识别任意恶意进程通过系统进程创建子进程，提升了进程处理过程中的灵活性和安全防御能力。
附图说明
18.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
19.图1为本发明实施例一提供的进程处理方法的流程图；
20.图2为本发明实施例提供的记录进程链的流程图；
21.图3为本发明实施例提供的拦截进程的示意图；
22.图4为本发明实施例二提供的进程处理装置的框图；
23.图5为本发明实施例三提供的计算机设备的硬件结构图。
具体实施方式
24.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.为了提升进程处理过程中的安全防御能力，发明人对现有技术中的进程处理过程研究发现，在一些情况下，进程链表中子进程的父进程是系统进程，例如某恶意进程通过wmi方式去创建一个子进程后，进程链表中该子进程的父进程是系统进程wmiprvse.exe，而系统进程默认都是可信的，就导致维护的真实父子进程关系链中断，这时，当该子进程执行可疑行为时，由于定位到的父进程是系统进程而不是真实的原始父进程，导致该行为并不能被及时拦截，也就是说，不能通过验证其父进程的方式实现违法行为的识别拦截。
26.基于此，本技术提出了一种进程处理方法、装置、计算机设备和可读存储介质，在该进程处理方法中，当检测到第一系统进程创建子进程时，在预存的进程记录中，查询子进程的真实父进程，具体地，进程记录包括源进程和目标进程的对应关系，该源进程为发送进程创建消息的非系统进程，该目标进程为进程创建消息指示创建的进程，在该进程记录中首先查询与子进程相同的目标进程，当查询到时，即可确定查询到的目标进程对应的源进程即为子进程的真实父进程，从而可根据该真实父进程确定是否要拦截子进程的创建，使得进程控制更加灵活，并且当真实父进程为恶意进程时，能够拦截恶意进程创建子进程进行违法行为，提升了安全防御能力。
27.关于本技术提供的进程处理方法、装置、计算机设备和可读存储介质的具体实施例，将在下文中详细描述。
28.实施例一
29.本发明实施例提供了一种进程处理方法，通过该方法，能够提升进程处理过程中的安全防御能力，具体地，图1为本发明实施例一提供的进程处理方法的流程图，如图1所示，该实施例提供的进程处理方法包括如下的步骤s101和步骤s102。
30.步骤s101：当检测到第一系统进程创建子进程时，在预存的进程记录中，查询子进程的真实父进程。
31.其中，进程记录包括源进程和目标进程的对应关系，源进程为向第二系统进程发送进程创建消息的非系统进程，目标进程为进程创建消息指示创建的进程，当子进程与目
标进程相同时，目标进程对应的源进程为子进程的真实父进程。
32.需要说明的是，第一系统进程和第二系统进程可以相同，也可以不同，该处的第一和第二仅用于区分两个逻辑场景，也即仅用于区分创建子进程的系统进程和接收进程创建消息的系统进程。
33.可选地，检测创建进程的事件，当检测到创建进程的事件时，判断是否是系统进程在创建进程，如果是，则执行该步骤s101；或者，可选地，检测系统进程创建进程的事件，在检测到系统进程创建进程的事件时，执行该步骤s101。
34.可选地，当非系统进程发送进程创建消息给系统进程时，将该非系统进程作为源进程，将该非系统进程欲创建的进程作为目标进程，在进程记录中形成源进程和目标进程的对应关系，存储进该进程记录，对于目标进程而言，源进程实际上是其真实的父进程。
35.在该步骤s101中，当检测到第一系统进程创建子进程时，利用子进程匹配预存的进程记录中的目标进程，当匹配到目标进程时，表明第一系统进程实际上并不是该子进程的真实父进程，进程记录中与该子进程匹配的目标进程所对应的源进程才是该子进程的真实父进程。
36.步骤s102：根据真实父进程确定是否要拦截子进程的创建。
37.在通过上述步骤s101确定第一系统进程欲创建的子进程的真实父进程时，即可在该步骤中根据真实父进程的信息确定是否要拦截子进程的创建。例如，可根据真实父进程设置系统进程创建的子进程的控制逻辑，以实现系统进程创建的子进程的灵活控制。
38.进一步，可获取反映该真实父进程的安全性的信息，以根据真实父进程确定是否要拦截子进程的创建，其中，当真实父进程的安全性隐患较大，例如真实父进程属于黑名单进程时，则拦截第一系统进程创建该子进程；当真实父进程是可信进程，则允许第一系统进程创建该子进程。
39.可选地，在该步骤s102中，获取真实父进程的安全信息；当安全信息显示真实父进程属于可信进程时，允许第一系统进程创建子进程；当安全信息显示真实父进程属于不可信进程时，拦截第一系统进程创建子进程。
40.可选地，也可结合真实父进程的安全性和待创建的子进程执行的动作来确定是否要拦截子进程的创建，例如，待创建的子进程执行的动作属于预设高危动作类型中的动作时，则对真实父进程的安全性要求更高。总之，在确定了子进程的真实父进程之后，可依据该真实父进程确定是否允许子进程的创建。
41.在该实施例提供的进程处理方法中，当检测到系统进程创建子进程时，在预存的进程记录中，查询该子进程的真实父进程，具体地，进程记录包括源进程和目标进程的对应关系，该源进程为发送进程创建消息的非系统进程，该目标进程为进程创建消息指示创建的进程，在该进程记录中首先查询与子进程相同的目标进程，进而确定查询到的目标进程对应的源进程即为子进程的真实父进程，从而可根据该真实父进程确定是否要拦截子进程的创建，当真实父进程为恶意进程时，拦截子进程的创建，也即拦截恶意进程创建子进程进行违法行为。采用该实施例提供的进程处理方法，可以灵活控制非系统进程借由系统进程创建子进程，能够拦截并识别任意恶意进程通过系统进程创建子进程，提升了进程处理过程中的灵活性和安全防御能力。
42.可选地，在一种实施例中，进程处理方法还包括：获取消息传递函数传递的目标消
息；判断目标消息是否为进程创建消息；若目标消息为进程创建消息，将发送目标消息的进程作为源进程，将目标消息指示创建的进程作为目标进程，一并写入进程记录。
43.具体地，当恶意进程通过系统进程创建子进程时，会通过消息传递函数将进程创建消息直接发送给创建子进程的系统进程，或者也可通过消息传递函数将进程创建消息发送给其他系统进程，然后再由该其他系统进程将消息转发至创建子进程的系统进程，总之，恶意进程会通过消息传递函数传递该进程创建消息。基于此，在该实施例中，获取消息传递函数传递的目标消息，判断该目标消息是否属于进程创建信息，如果属于，记录发送目标消息的进程作为源进程，记录目标消息指示创建的进程作为目标进程，将源进程的标识信息和目标进程的标识信息一并写入进程记录，从而能够将创建子进程的恶意进程及该子进程进行记录，进而在上述步骤s101中，如果系统进程创建的子进程为记录中的目标进程，那么可识别到其真实父进程为恶意进程，进而能够拦截该子进程的创建。
44.采用该实施例提供的进程处理方法，能够将借由系统进程创建子进程的进程进行记录，从而在创建子进程时对其真实父进程溯源，进而可根据真实父进程对子进程的创建进行控制，当真实父进程为恶意进程时，能够有效拦截恶意进程借由系统进程创建子进程。
45.可选地，在一种实施例中，获取消息传递函数传递的目标消息的步骤包括：对消息传递函数进行hook，以获取源进程发送目标消息的参数；判断目标消息是否为进程创建消息的步骤包括通过hook函数执行以下步骤：对参数进行解析，以判断源进程访问的接口是否为预设接口；若接口为预设接口，判断源进程访问的方法是否为执行方法；若方法为执行方法，判断方法执行的内容是否为创建进程，其中，若方法执行的内容为创建进程，则确定目标消息为进程创建消息。
46.具体地，通过设置hook函数，对消息传递函数进行hook，获取源进程发送目标消息的参数，并通过hook函数判断消息传递函数传递的目标消息是否为进程创建消息。hook函数在进行判断时，根据解析到的参数判断源进程是否要访问预设接口，其中，该预设接口下包括能够创建进程的执行方法。不同的接口具有不同的标识，接口标识对于接口来讲具有唯一性，因此，通过解析参数能够解析到接口标识，再将解析到的接口标识与预设接口的接口标识进行比对，即可确定源进程是否要访问预设接口。如果源进程要访问该预设接口，进一步判断源进程访问该接口下的哪一个方法。其中，预设接口下包括若干方法，不同的方法在固定的接口下具有不同且固定的id，因此，通过解析参数能够解析到访问的预设接口下方法的id，进而可确定具体访问的方法是否为执行方法。如果访问的方法为该执行方法，进一步判断该执行方法具体执行的内容，也即消息的内容，其中，消息的内容可以为创建进程，也可以为操作注册表或文件等，因此，通过解析参数能够解析到消息的内容是否为创建进程，进而可确定目标消息是否为创建进程的消息。
47.采用该实施例提供的进程的处理方法，通过预设hook函数来判断消息传递函数传递的目标消息是否为进程创建消息，其中hook函数逐层进行判断，既能够准确识别出进程创建消息，又具有较高的执行效率。
48.可选地，在一种实施例中，将发送目标消息的进程作为源进程，将目标消息指示创建的进程作为目标进程，一并写入进程记录的步骤包括：从目标消息的消息内容中获取被创建的进程的名称；获取源进程的pid；以及将名称和pid写入进程记录。
49.具体地，在创建进程时，需要提供被创建进程的名称，在目标消息的消息内容中会
包括被创建的进程的名称，因此，提取目标消息中被创建的进程的名称作为目标进程的标识，能够在进程被创建时，也即上述步骤s101中，直接利用被创建子进程的名称与进程记录中目标进程的名称去比对，进而确定出被创建的子进程是否属于进程记录表中的目标进程。不同的进程具有不同的pid，通过hook消息传递函数也可获取到源进程的pid，可以方便的获取到进程的pid标识源进程，以便在上述步骤s102中，确定真实父进程后，利用其pid获取其相关的特征信息，包括安全性信息等，以利用该特征信息控制子进程的创建。
50.可选地，在一种实施例中，获取消息传递函数传递的目标消息的步骤包括：获取ntalpcsendwaitreceiveport函数传递的目标消息；判断源进程访问的接口是否为预设接口的步骤包括：判断源进程访问的接口是否为iwbemservice接口；源进程访问的方法是否为执行方法的步骤包括：源进程访问的方法的位置是否为0x18或0x19；源进程用于通过ntalpcsendwaitreceiveport函数发送目标消息至svchost进程，svchost进程用于转发目标消息至wmiprvse进程；第一系统进程为wmiprvse进程。
51.具体地，windows操作系统支持wmi的方式去创建一个进程，通过wmi方式创建的进程，父进程默认是wmiprvse.exe，这就导致维护的父子进程关系链中断，当被创建的进程发生违法行为时，无法定位到真正的原始父进程。通过该实施例，针对wmi创建进程进行溯源，可以定位到真实的父进程。
52.其中，wmi是微软提供的一套管理系统资源的接口，从windows 2000开始内置在windows系统中，支持文件、进程、服务、注册表，等常见操作。该实施例通过逆向内部结构，可以在wmiprvse.exe创建进程时，定位到真实父进程的pid。
53.当一个进程a进程(也即源进程)想要用过wmi的方式创建foo.exe(也即目标进程)，内部实现的过程是:
54.1.a.exe通过ntalpcsendwaitreceiveport函数传递目标消息给svchost.exe(winmgment)；
55.2.svchost.exe(winmgment)转发目标消息给wmiprvse.exe；
56.3.wmiprvse.exe收到该目标消息，开始创建进程foo.exe。
57.在a.exe通过ntalpcsendwaitreceiveport函数传递目标消息给svchost.exe时，通过hook函数对ntalpcsendwaitreceiveport函数进行hook，如图2所示，具体的处理如下：
58.1、hook函数获取a进程发送消息的参数；
59.2、对参数进行解析，解析到的参数包括a进程要访问的接口、方法和消息；
60.3、判断要访问的接口是否为iwbemservice接口(也即wmi的接口唯一，其接口guid唯一标识符为{9556dc99-828c-11cf-a37e-00aa003240c7})；或0x19；
61.4、如果要访问的接口是iwbemservice接口，判断要访问的方法是否为0x18号(方法名为execmethod)和0x19号(方法名为execmethodasync)位置所在的方法(也即同步执行方法和异步执行方法)；
62.5、如果要访问的方法是0x18号和0x19号位置所在的方法，则判断消息是不是创建进程的消息；
63.6、如果消息是创建进程的消息，从消息内容中获取被创建的进程的名称，获取a进程的pid，保存到链表中，也即保存在进程记录中。
64.如果要访问的接口不是iwbemservice接口，或者如果要访问的方法不是0x18号和
0x19号位置所在的方法，或者消息不是创建进程的消息，或者在保存进程记录之后，执行原流程，也即上述“进程a进程(也即源进程)想要用过wmi的方式创建foo.exe”的三个步骤。
65.采用该实施例提供的进程处理方法，在源进程第一次发送消息给svchost时，记录源进程的pid、要创建的进程的名称到一个数据链表中，能够在wmiprvse.exe创建该进程时，通过该数据链表查询到源进程的pid。
66.可选地，在一种实施例中，进程处理方法还包括：在驱动程序中注册创建进程回调通知，以检测进程创建事件；当检测到进程创建事件时，回调处理函数判断创建子进程的进程是否为第一系统进程。
67.具体地，可在安全软件的驱动程序中注册创建进程通知回调，从而当有进程创建子进程时，通过回调处理函数来判断是否是系统进程在创建子进程，可选地，如图3所示，当有进程创建子进程时，回调处理函数判断该进程是否为wmiprvse.exe时，如果是，判断子进程是否在wmi记录中，也即查询记录的数据链表，查找被创建的进程名称foo.exe，查询成功以后再取出记录中的a进程的信息，这个a进程就是foo.exe的真实的父进程。接着可判断真实父进程a进程，是不是一个可信进程，如果是不可信的进程，则进行拦截创建foo.exe进程，如果a进程可信，则允许创建foo.exe进程，如果进程不是wmiprvse.exe，或者在数据链表中没有查找到进程名称foo.exe，则允许创建foo.exe进程。
68.采用该实施例提供的进程处理方法，记录任意进程访问wmi的iwbemservices接口创建进程时，对父进程和要创建的目标进程进行记录保存。等wmiprvse收到消息开始创建进程时，再匹配记录的数据表中保存的被创建的进程名称，如果匹配成功，再根据记录表中保存的真实父进程信息进行判断该父进程是否为一个可信进程，如果可信就允许创建子进程。否则阻止wmiprvse创建子进程，可以拦截并识别任意进程通过wmi的方式创建一个进程，并在创建进程时获取到真实父进程信息，提高安全防御能力。
69.实施例二
70.对应于上述实施例一，本发明实施例二提供了一种进程处理装置，相应地技术特征细节和对应的技术效果可参考上述实施例一，在该实施例中不再赘述。图4为本发明实施例二提供的进程处理装置的框图，如图4所示，该装置包括：查询模块201和处理模块202。
71.其中，查询模块201用于当检测到第一系统进程创建子进程时，在预存的进程记录中，查询所述子进程的真实父进程，其中，所述进程记录包括源进程和目标进程的对应关系，所述源进程为向第二系统进程发送进程创建消息的非系统进程，所述目标进程为所述进程创建消息指示创建的进程，当所述子进程与所述目标进程相同时，所述目标进程对应的源进程为所述子进程的真实父进程，所述第一系统进程和所述第二系统进程可以相同，也可以不同；以及处理模块202用于根据所述真实父进程确定是否要拦截所述子进程。
72.可选地，在一种实施例中，所述进程处理装置还包括：获取模块，用于获取消息传递函数传递的目标消息；判断模块，用于判断所述目标消息是否为所述进程创建消息；记录模块，用于若所述目标消息为所述进程创建消息，将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录。
73.可选地，在一种实施例中，获取模块在获取消息传递函数传递的目标消息是，具体执行的步骤包括：对所述消息传递函数进行hook，以获取所述源进程发送所述目标消息的参数；判断所述目标消息是否为所述进程创建消息的步骤包括通过hook函数执行以下步
骤：对所述参数进行解析，以判断所述源进程访问的接口是否为预设接口；若所述接口为所述预设接口，判断所述源进程访问的方法是否为执行方法；若所述方法为所述执行方法，判断所述方法执行的内容是否为创建进程，其中，若所述方法执行的内容为创建进程，则确定所述目标消息为所述进程创建消息。
74.可选地，在一种实施例中，记录模块在将发送所述目标消息的进程作为所述源进程，将所述目标消息指示创建的进程作为所述目标进程，一并写入所述进程记录时，具体执行的步骤包括：从所述目标消息的消息内容中获取被创建的进程的名称；获取所述源进程的pid；以及将所述名称和所述pid写入所述进程记录。
75.可选地，在一种实施例中，获取消息传递函数传递的目标消息的步骤包括：获取ntalpcsendwaitreceiveport函数传递的目标消息；判断所述源进程访问的接口是否为预设接口的步骤包括：判断所述源进程访问的接口是否为iwbemservice接口；所述源进程访问的方法是否为执行方法的步骤包括：所述源进程访问的方法的位置是否为0x18或0x19；所述源进程用于通过所述ntalpcsendwaitreceiveport函数发送所述目标消息至svchost进程，所述svchost进程用于转发所述目标消息至wmiprvse进程；所述第一系统进程为所述wmiprvse进程，所述第二系统进程为所述svchost进程。
76.可选地，在一种实施例中，所述进程处理装置还包括：注册模块，用于在驱动程序中注册创建进程回调通知，以检测进程创建事件；当检测到进程创建事件时，回调处理函数判断创建子进程的进程是否为第一系统进程。
77.可选地，在一种实施例中，处理模块202在根据所述真实父进程确定是否要拦截所述子进程的创建时，具体执行的步骤包括：获取所述真实父进程的安全信息；当所述安全信息显示所述真实父进程属于可信进程时，允许所述第一系统进程创建所述子进程；当所述安全信息显示所述真实父进程属于不可信进程时，拦截所述第一系统进程创建所述子进程。
78.实施例三
79.本实施例三还提供一种计算机设备，如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器，或者多个服务器所组成的服务器集群)等。如图5所示，本实施例的计算机设备01至少包括但不限于：可通过系统总线相互通信连接的存储器012、处理器011，如图5所示。需要指出的是，图5仅示出了具有组件存储器012和处理器011的计算机设备01，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。
80.本实施例中，存储器012(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器012可以是计算机设备01的内部存储单元，例如该计算机设备01的硬盘或内存。在另一些实施例中，存储器012也可以是计算机设备01的外部存储设备，例如该计算机设备01上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。当然，存储器012还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中，存储器012通常用于存储安装于计算机设备01的操作系统和各类应用软件，例如实施例二的进程处理装置的程序代
码等。此外，存储器012还可以用于暂时地存储已经输出或者将要输出的各类数据。
81.处理器011在一些实施例中可以是中央处理器(central processing unit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器011通常用于控制计算机设备01的总体操作。本实施例中，处理器011用于运行存储器012中存储的程序代码或者处理数据，例如进程处理方法。
82.实施例四
83.本实施例四还提供一种计算机可读存储介质，如闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘、服务器、app应用商城等等，其上存储有计算机程序，程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储进程处理装置，被处理器执行时实现实施例一的进程处理方法。
84.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
85.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
86.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。
87.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。