应用层系统进程的启动方法、装置、设备及可读存储介质与流程

技术特征：
1.一种应用层系统进程的启动方法，其特征在于，包括：获取待操作目标系统进程中正在运行的线程，将所述正在运行的线程挂起后，查询挂起线程的上下文信息；根据所述挂起线程的上下文信息，在内核中定位到当前程序运行的跳转代码位置；预先编写与地址无关的进程操作代码，在可执行文件中将所述跳转代码位置设置为所述进程操作代码的起始位置；当程序执行到所述跳转代码位置时，利用所述进程操作代码在应用层启动系统进程，并根据所述系统进程执行系统操作。2.根据权利要求1所述的方法，其特征在于，所述获取待操作目标系统进程中正在运行的线程，将所述正在运行的线程挂起后，查询挂起线程的上下文信息，具体包括：获取待操作的目标系统进程，利用所述目标系统进程对应的标识信息遍历查询系统中所有线程，得到属于所述目标系统进程且正在运行的线程；将所述属于所述目标系统进程且正在运行的线程挂起，使用预设接口查询挂起线程的上下文信息。3.根据权利要求2所述的方法，其特征在于，所述获取待操作的目标系统进程，利用所述目标系统进程对应的标识信息遍历查询系统中所有线程，得到属于所述目标系统进程且正在运行的线程，具体包括：遍历任务管理器中的系统进程信息，根据所述系统进程信息获取待操作的目标系统进程；使用内核函数查询所述目标系统进程对应的句柄；遍历系统中所有的线程，利用根据所述目标系统进程对应的句柄查询到属于所述目标系统进程且正在运行的线程。4.根据权利要求3所述的方法，其特征在于，所述遍历任务管理器中的系统进程信息，根据所述系统进程信息获取待操作的目标系统进程，具体包括：遍历任务管理器中的进程识别号，根据所述进程识别号获取系统进程的结构体信息；利用所述系统进程的结构体信息，查询得到待操作的目标系统进程；所述遍历系统中所有的线程，利用根据所述目标系统进程对应的句柄查询到属于所述目标系统进程且正在运行的线程，具体包括：利用所述目标系统进程对应的句柄获取目标系统进程的结构体信息；遍历系统中所有的线程，提取线程所属系统进程的结构体信息，将所述结构体信息与所述目标系统进程的结构体信息进行对比；如果比对一致，则获取结构体信息对应的目标线程，将线程状态处于运行状态的目标线程作为属于所述目标系统进程且正在运行的线程。5.根据权利要求2所述的方法，其特征在于，所述将所述属于所述目标系统进程且正在运行的线程挂起，使用预设接口查询挂起线程的上下文信息，具体包括：使用特征码查询技术获取线程挂起接口，使用所述线程挂起接口将所述属于所述目标系统进程且正在运行的线程挂起；定义未文档化接口查询不同程序类型线程的上下文信息，根据挂起线程对应的程序类型，通过声明相应程序类型的文档化接口查询所述挂起线程的上下文信息。
6.根据权利要求1-5中任一项所述的方法，其特征在于，所述与地址无关的进程操作代码为汇编形式的字节码，用于在应用层创建执行系统操作的系统进程，所述方法还包括：通过驱动和应用程序通讯的方式将所述与地址无关的进程操作代码传递至可执行文件；或通过在内核定义的方式将所述与地址无关的进程操作代码传递至可执行文件；解析可执行文件，遍历寻找代码字节的起始位置，将所述与地址无关的进程操作代码写入至所述可执行文件中代码字节起始位置。7.根据权利要求1-5中任一项所述的方法，其特征在于，在所述预先编写与地址无关的进程操作代码，在可执行文件中将所述跳转代码位置设置为所述进程操作代码的起始位置之后，所述方法还包括：在所述与地址无关的进程操作代码中保留所述跳转代码位置，当执行完成进程操作代码对应的系统操作后，恢复到所述跳转代码位置处开始执行。8.一种应用层系统进程的启动装置，其特征在于，包括：获取单元，用于获取待操作目标系统进程中正在运行的线程，将所述正在运行的线程挂起后，查询挂起线程的上下文信息；定位单元，用于根据所述挂起线程的上下文信息，在内核中定位到当前程序运行的跳转代码位置；设置单元，用于预先编写与地址无关的进程操作代码，在可执行文件中将所述跳转代码位置设置为所述进程操作代码的起始位置；启动单元，用于当程序执行到所述跳转代码位置时，利用所述进程操作代码在应用层启动系统进程，并根据所述系统进程执行系统操作。9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述应用层系统进程的启动方法的步骤。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述应用层系统进程的启动方法的步骤。

技术总结
本申请公开了一种应用层系统进程的启动方法、装置、设备及可读存储介质，涉及计算机技术领域，能够在内核中启动应用层系统进程，使得主动防御对可信程序不造成误差或者误报，实现内核中对应用层程序的灵活控制。其中方法包括：获取待操作目标系统进程中正在运行的线程，将所述正在运行的线程挂起后，查询挂起线程的上下文信息；根据所述挂起线程的上下文信息，在内核中定位到当前程序运行的跳转代码位置；预先编写与地址无关的进程操作代码，在可执行文件中将所述跳转代码位置设置为所述进程操作代码的起始位置；当程序执行到所述跳转代码位置时，利用所述进程操作代码在应用层启动系统进程，并根据所述系统进程执行系统操作。作。作。


技术研发人员：张新琪 潘明
受保护的技术使用者：成都安易迅科技有限公司
技术研发日：2022.11.28
技术公布日：2022/12/30