一种检测傀儡进程创建的方法及系统发明专利

专利名称：一种检测傀儡进程创建的方法及系统

专利类型：发明专利

专利申请号：CN202211318969.4

专利申请（专利权）人：安芯网盾(北京)科技有限公司
权利人地址：北京市海淀区上地五街高立二千大厦二层西侧

专利发明（设计）人：王世元,姜向前,姚纪卫

专利摘要：本发明的实施例公开了一种检测傀儡进程创建的方法及系统，方法包括：编写驱动程序，注册进程句柄的前操作回调函数；在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径；获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中；若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建；若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限。系统包括驱动程序编写模块，回调函数判断模块，路径判断模块、清除模块和授权模块。本发明能够能够在企图创建傀儡进程时加以检测，有效弥补了现有检测傀儡进程创建手段的不足。

主权利要求：
1.一种检测傀儡进程创建的方法，其特征在于，包括：
编写驱动程序，注册进程句柄的前操作回调函数；
在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径；
获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中；
若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建；
若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限；
所述在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径，包括：若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回检查通过；
或者，若当前句柄为内核句柄，则返回检查通过；
或者，若进程句柄对应的内核对象类型PreOperationInfo‑>ObjectType不为进程对象*PsProcessType，则返回检查通过；
或者，若进程句柄对应的内核对象PreOperationInfo‑>Object等于当前进程对象，则返回检查通过；
或者，若对进程句柄的操作PreOperationInfo‑>Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回检查通过。
2.根据权利要求1所述的检测傀儡进程创建的方法，其特征在于，所述编写驱动程序，注册进程句柄的前操作回调函数，包括：调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数；
设置该前操作回调函数的第二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。
3.根据权利要求1所述的检测傀儡进程创建的方法，其特征在于，所述获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中，包括：获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功；
若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。
4.根据权利要求1所述的检测傀儡进程创建的方法，其特征在于，所述若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建，包括：判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION；
将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。
5.一种检测傀儡进程创建的系统，其特征在于，包括：
驱动程序编写模块，用于编写驱动程序，注册进程句柄的前操作回调函数；
回调函数判断模块，用于在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径；
路径判断模块，用于获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中；
清除模块，用于若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建；
授权模块，用于若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限；
所述回调函数判断模块包括：
中断请求级别判断单元，用于若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回检查通过；
句柄判断单元，用于若当前句柄为内核句柄，则返回检查通过；
内核对象类型判断单元，用于若进程句柄对应的内核对象类型PreOperationInfo‑>ObjectType不为进程对象*PsProcessType，则返回检查通过；
内核对象判断单元，用于若进程句柄对应的内核对象PreOperationInfo‑>Object等于当前进程对象，则返回检查通过；
句柄创建方式判断单元，用于若对进程句柄的操作PreOperationInfo‑>Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回检查通过。
6.根据权利要求5所述的检测傀儡进程创建的系统，其特征在于，所述驱动程序编写模块包括：进程句柄注册单元，用于调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数；
参数设置单元，用于设置该前操作回调函数的第二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。
7.根据权利要求5所述的检测傀儡进程创建的系统，其特征在于，所述路径判断模块包括：完整路径判断单元，用于获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功；
散列值路径判断单元，用于若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。
8.根据权利要求5所述的检测傀儡进程创建的系统，其特征在于，所述清除模块包括：进程句柄权限判断单元，用于判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION；
清除执行单元，用于将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。 说明书 : 一种检测傀儡进程创建的方法及系统技术领域[0001] 本发明涉及检测傀儡进程创建技术领域，特别涉及一种检测傀儡进程创建的方法及系统。背景技术[0002] 创建傀儡进程是攻击者常用的攻击手段，具有隐蔽性高的特点。现有检测傀儡进程创建的手段都是傀儡进程已经创建并且在傀儡进程的主线程运行时经过由[0003] PsSetCreateProcessNotifyRoutine\PsSetCreateProcessNotifyRoutineEx\PsSetCreateProcessNotifyRoutineEx2(内核编程接口函数)创建的进程回调时进行内存扫描，这种检测手段存在以下两点不足：一是傀儡进程已经创建；二是通过扫描内存检测存在效率低、浪费系统性能的问题。发明内容[0004] 有鉴于此，本发明实施例的目的在于提供一种检测傀儡进程创建的方法及系统，能够在企图创建傀儡进程时加以检测，有效弥补了现有检测傀儡进程创建手段的不足。[0005] 第一方面，本发明实施例提供了一种检测傀儡进程创建的方法，其中，包括：[0006] 编写驱动程序，注册进程句柄的前操作回调函数。[0007] 在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径。[0008] 获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中。[0009] 若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建。[0010] 若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限。[0011] 结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述编写驱动程序，注册进程句柄的前操作回调函数，包括：[0012] 调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数。[0013] 设置该前操作回调函数的第二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。[0014] 结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径，包括：[0015] 第一判断，若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回成功。[0016] 或者，进行第二判断，若当前句柄为内核句柄，则返回成功。具体的，若PreOperationInfo‑>KernelHandle为TRUE，则返回成功。[0017] 或者，进行第三判断，若进程句柄对应的内核对象类型PreOperationInfo‑>ObjectType不为进程对象*PsProcessType，则返回成功。[0018] 或者，进行第四判断，若进程句柄对应的内核对象PreOperationInfo‑>Object等于当前进程对象，则返回成功。具体的，若进程句柄对应的内核对象PreOperationInfo‑>Object等于调用内核编程接口函数PsGetCurrentProcess的返回值，则返回成功。[0019] 或者，进行第五判断，若对进程句柄的操作PreOperationInfo‑>Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回成功。具体的，若PreOperationInfo‑>Operation不为OB_OPERATION_HANDLE_CREATE，且PreOperationInfo‑>Operation不为OB_OPERATION_HANDLE_DUPLICATE，则返回成功。[0020] 结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中，包括：[0021] 获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功。[0022] 若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。[0023] 结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建，包括：[0024] 判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION。[0025] 将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。[0026] 第二方面，本发明实施例还提供了一种检测傀儡进程创建的系统，其中，包括：[0027] 驱动程序编写模块，用于编写驱动程序，注册进程句柄的前操作回调函数。[0028] 回调函数判断模块，用于在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径。[0029] 路径判断模块，用于获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中。[0030] 清除模块，用于若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建。[0031] 授权模块，用于若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限DesiredAccess。[0032] 结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述驱动程序编写模块包括：[0033] 进程句柄注册单元，用于调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数。[0034] 参数设置单元，用于设置该前操作回 调函数的第 二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。[0035] 结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述回调函数判断模块包括：[0036] 中断请求级别判断单元，用于第一判断，若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回成功。[0037] 句柄判断单元，用于，进行第二判断，若当前句柄为内核句柄，则返回成功。[0038] 内核对象类型判断单元，用于，进行第三判断，若进程句柄对应的内核对象类型PreOperationInfo‑>ObjectType不为进程对象*PsProcessType，则返回成功。[0039] 内核对象判断单元，用于，进行第四判断，若进程句柄对应的内核对象PreOperationInfo‑>Object等于当前进程对象，则返回成功。[0040] 句柄创建方式判断单元，用于，进行第五判断，若对进程句柄的操作PreOperationInfo‑>Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回成功。[0041] 结合第二方面，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述路径判断模块包括：[0042] 完整路径判断单元，用于获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功。[0043] 散列值路径判断单元，用于若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。[0044] 结合第二方面，本发明实施例提供了第二方面的第四种可能的实施方式，其中，所述清除模块包括：[0045] 进程句柄权限判断单元，用于判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION。[0046] 清除执行单元，用于将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。[0047] 本发明实施例的有益效果是：[0048] 本发明针对Windows平台傀儡进程创建的问题，提供了一种检测傀儡进程创建的方法及系统，在企图创建傀儡进程时就加以检测，对所有傀儡进程创建手段均有效，增强检测Windows平台傀儡进程的能力，有效弥补了现有检测傀儡进程创建手段的不足。附图说明[0049] 为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。[0050] 图1为本发明检测傀儡进程创建方法的流程示意图；[0051] 图2为本发明检测傀儡进程创建方法的完整流程图。具体实施方式[0052] 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件能够以各种不同的配置来布置和设计。[0053] 请参照图1至图2，本发明的第一个实施例提供一种检测傀儡进程创建的方法，其中，包括：[0054] 编写驱动程序，注册进程句柄的前操作回调函数。[0055] 在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径。[0056] 获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中。[0057] 若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建。[0058] 若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限。[0059] 其中，所述编写驱动程序，注册进程句柄的前操作回调函数，包括：[0060] 调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数。[0061] 设置该前操作回调函数的第二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。[0062] 其中，ObRegisterCallbacks保护进程函数为内核函数，用于进程保护。通过该函数设置的回调函数，可设置对某个进程或线程句柄进行操作的前或后执行。[0063] 其中，所述在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径，包括：[0064] 第一判断，若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回成功。[0065] 其中，IRQL中断请求级别为InterruptReQuestLevel的英文缩写，用于划分在windows下中断的优先级。[0066] 或者，进行第二判断，若当前句柄为内核句柄，则返回成功。具体的，若PreOperationInfo‑>KernelHandle为TRUE，则返回成功。[0067] 或者，进行第三判断，若进程句柄对应的内核对象类型PreOperationInfo‑>ObjectType不为进程对象*PsProcessType，则返回成功。[0068] 或者，进行第四判断，若进程句柄对应的内核对象PreOperationInfo‑>Object等于当前进程对象，则返回成功。具体的，若进程句柄对应的内核对象PreOperationInfo‑>Object等于调用内核编程接口函数PsGetCurrentProcess的返回值，则返回成功。[0069] 或者，进行第五判断，若对进程句柄的操作PreOperationInfo‑>Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回成功。具体的，若PreOperationInfo‑>Operation不为OB_OPERATION_HANDLE_CREATE，且PreOperationInfo‑>Operation不为OB_OPERATION_HANDLE_DUPLICATE，则返回成功。[0070] 其中，所述获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中，包括：[0071] 获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功。[0072] 若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。[0073] 其中，hash散列值是利用哈希存储方式组织的文件，也称为直接存取文件。[0074] 其中，所述若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建，包括：[0075] 判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION。[0076] 将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。[0077] 其中，DesiredAccess为进程句柄授予的权限包含了标识请求访问该文件的掩码。[0078] 本发明的第二个实施例提供一种检测傀儡进程创建的系统，其中，包括：[0079] 驱动程序编写模块，用于编写驱动程序，注册进程句柄的前操作回调函数。[0080] 回调函数判断模块，用于在编写的前操作回调函数中，对进程句柄的信息进行检查，若检查通过，则获取当前进程文件的完整路径。[0081] 路径判断模块，用于获取当前进程文件的完整路径和散列值，判断当前进程文件是否在白名单中。[0082] 清除模块，用于若进程句柄信息检查通过，且当前进程文件不在白名单内，则清除该进程句柄写入目标进程的权限，阻止傀儡进程的创建。[0083] 授权模块，用于若进程句柄信息检查不通过，或当前进程文件在白名单内，则为进程句柄授予写入目标进程的权限DesiredAccess。[0084] 其中，所述驱动程序编写模块包括：[0085] 进程句柄注册单元，用于调用ObRegisterCallbacks内核编程接口函数注册进程句柄的ObjectPreCallback前操作回调函数。[0086] 参数设置单元，用于设置该前操作回 调函数的第 二个参数记为PreOperationInfo，包含进程句柄对应的内核对象。[0087] 其中，所述回调函数判断模块包括：[0088] 中断请求级别判断单元，用于第一判断，若前操作回调函数中当前IRQL中断请求级别不为被动级别PASSIVE_LEVEL，则返回成功。[0089] 句柄判断单元，用于，进行第二判断，若当前句柄为内核句柄，则返回成功。[0090] 内核对象类型判断单元，用于，进行第三判断，若进程句柄对应的内核对象类型PreOperationInfo‑>ObjectType不为进程对象*PsProcessType，则返回成功。[0091] 内核对象判断单元，用于，进行第四判断，若进程句柄对应的内核对象PreOperationInfo‑>Object等于当前进程对象，则返回成功。[0092] 句柄创建方式判断单元，用于，进行第五判断，若对进程句柄的操作PreOperationInfo‑>Operation既不为句柄创建OB_OPERATION_HANDLE_CREATE，也不为句柄复制OB_OPERATION_HANDLE_DUPLICATE，则返回成功。[0093] 其中，所述路径判断模块包括：[0094] 完整路径判断单元，用于获取当前进程的文件的完整路径，查找当前进程的文件路径是否在文件路径白名单里，若在则返回成功。[0095] 散列值路径判断单元，用于若当前进程不在文件路径白名单，则计算该文件内容的hash散列值，查找该hash散列值是否在hash散列值路径白名单中，若在hash散列值白名单中则返回成功。[0096] 其中，所述清除模块包括：[0097] 进程句柄权限判断单元，用于判断为进程句柄授予的权限DesiredAccess中是否包含进程虚拟内存写权限PROCESS_VM_WRITE或者进程虚拟内存操作权限PROCESS_VM_OPERATION。[0098] 清除执行单元，用于将为进程句柄授予的权限DesiredAccess中包含的进程虚拟内存写权限PROCESS_VM_WRITE和进程虚拟内存操作权限PROCESS_VM_OPERATION标志清除并返回，让试图打开对应目标进程的句柄没有写入目标进程虚拟内存和操作目标进程虚拟内存的权限。[0099] Windows平台上创建傀儡进程的手段很多，不管什么手段，都有必经之路：必须得到傀儡进程的目标进程的进程句柄，只有这样才能对目标进程进行写内存操作，从而把目标进程变为傀儡进程，因此在目标进程的进程句柄被打开和被复制时进行傀儡进程的检测是一个很好的思路。[0100] 本发明实施例旨在保护一种检测傀儡进程创建的方法及系统，具备如下效果：[0101] 在企图创建傀儡进程时就加以检测，对所有傀儡进程创建手段均有效，增强检测Windows平台傀儡进程的能力，有效弥补了现有检测傀儡进程创建手段的不足。[0102] 本发明实施例所提供的检测傀儡进程创建的方法及装置的计算机程序产品，包括存储了程序代码的计算机可读存储介质，程序代码包括的指令可用于执行前面方法实施例中的方法，具体实现可参见方法实施例，在此不再赘述。[0103] 具体地，该存储介质能够为通用的存储介质，如移动磁盘、硬盘等，该存储介质上的计算机程序被运行时，能够执行上述检测傀儡进程创建的方法，从而能够在企图创建傀儡进程时就加以检测，增强检测Windows平台傀儡进程的能力，有效弥补了现有检测傀儡进程创建手段的不足。[0104] 所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read‑OnlyMemory，ROM)、随机存取存储器(RandomAccessMemory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。[0105] 最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

专利地区：北京

专利申请日期：2022-10-26

专利公开日期：2024-06-18

专利公告号：CN115543463B