技术特征:
1.一种监听新建进程的方法,其特征在于,包括:接收创建新建进程的命令;检测到所述命令,根据系统调用表中的调用地址,执行内核函数;利用所述内核函数获取所述新建进程的上下文信息,并将所述上下文信息实时传送至用户态程序,实现监听所述新建进程。2.如权利要求1所述的一种监听新建进程的方法,其特征在于,所述利用所述内核函数获取所述新建进程的上下文信息,包括:利用所述内核函数中的拦截方法获取所述新建进程的所述上下文信息。3.如权利要求1所述的一种监听新建进程的方法,其特征在于,所述根据系统调用表中的调用地址,执行内核函数之前,还包括:将所述系统调用表原来的地址修改为所述调用地址,其中,所述调用地址为所述内核函数的地址。4.如权利要求3所述的一种监听新建进程的方法,其特征在于,所述将所述系统调用表原来的地址修改为所述调用地址,包括:将所述系统调用表原来的fork地址修改为所述调用地址。5.如权利要求1所述的一种监听新建进程的方法,其特征在于,所述将所述上下文信息实时传送至用户态程序之后,还包括:利用所述用户态程序将采集的所述上下文信息进行解析并生成日志。6.如权利要求5所述的一种监听新建进程的方法,其特征在于,还包括:将所述日志发送至入侵检测系统进行检测,确定是否为恶意进程。7.如权利要求6所述的一种监听新建进程的方法,其特征在于,所述确定是否为恶意进程,包括:对比命令行信息与恶意进程异常行为规则是否相符;若相符,则报告所述新建进程异常。8.一种监听新建进程装置,其特征在于,包括:接收模块,用于接收创建新建进程的命令;检测模块,用于检测到所述命令,根据系统调用表中的调用地址,执行内核函数;监听模块,用于利用所述内核函数获取所述新建进程的上下文信息,并将所述上下文信息实时传送至用户态程序,实现监听所述新建进程。9.一种计算机设备,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的监听新建进程方法。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述监听新建进程方法的步骤。
技术总结
本发明公开了一种监听新建进程的方法、装置、计算机设备以及计算机可读存储介质,涉及计算机技术领域,其中方法包括:接收创建新建进程的命令;检测到所述命令,根据系统调用表中的调用地址,执行内核函数;利用所述内核函数获取所述新建进程的上下文信息,并将所述上下文信息实时传送至用户态程序,实现监听所述新建进程。本发明通过利用内核函数获得上下文信息并将上下文信息实时传送至用户态程序的方式,可以在触发进程时实现对进程监听,即可以在系统调用之前就检测到恶意进程,能及时发现通过rootkit防御绕过的恶意进程,避免遗漏掉恶意进程,以及本发明通过这种方式避免了每次全量扫描进程,实现占用更少的计算资源和带宽资源。宽资源。宽资源。
技术研发人员:彭强兵 姚吉
受保护的技术使用者:杭州安恒信息技术股份有限公司
技术研发日:2022.10.20
技术公布日:2023/1/31
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
