[发明专利]使用系统事件信息来探测隐藏进程的系统和方法

权利要求书

1、一种通过使用系统事件信息来探测隐藏进程的系统，其特征在于：通过比较从通过内核层监视获得的系统事件信息中提取的进程列表和从应用列表提供给用户的进程列表，探测仅存在于内核层中的进程作为隐藏进程。

2、如权利要求1所述的系统，其中内核层监视通过在内核层监视文件系统来提取文件事件信息。

3、如权利要求1所述的系统，其中内核层监视通过监视在内核层访问的注册信息来提取注册信息事件信息。

4、如权利要求1所述的系统，其中内核层监视通过监视网络来提取网络事件信息。

5、如权利要求24中任意一个所述的系统，其中内核层被实时监视。

6、如权利要求1-4中任意一个所述的系统，其中内核层监视还包括系统事件信息过滤模块，从而不探测预定事件信息和预定进程。

7、一种通过使用系统事件信息来探测隐藏进程的系统，包括：

内核层监视模块，用于通过监视内核层系统来提取系统事件信息；

内核层进程列表探测模块，用于探测与来自于所提取的系统事件信息的事件相关的进程；

应用层进程列表探测模块，用于探测从应用层提供给用户的进程列表；以及

隐藏进程探测模块，用于通过比较由内核层进程列表探测模块探测的进程以及由应用层进程列表探测模块探测的进程，探测仅在内核层中存在的进程作为隐藏进程。

8、如权利要求7所述的系统，其中内核层监视模块包括用于通过在内核层监视文件系统来提取文件事件信息的文件监视模块。

9、如权利要求7所述的系统，其中内核层监视模块包括用于通过监视在内核层访问的注册信息来提取注册事件信息的注册信息监视模块。

10、如权利要求7所述的系统，其中内核层监视模块包括用于通过监视网络来提取网络事件信息的网络监视模块。

11、如权利要求7所述的系统，其中内核层监视模块包括：

用于通过在内核层监视文件系统来提取文件事件信息的文件监视模块；

用于通过监视在内核层访问的注册信息来提取注册信息事件信息的注册信息监视模块；以及

用于通过在内核层监视网络来提取网络事件信息的网络监视模块。

12、如权利要求11所述的系统，其中应用层进程列表探测模块探测从应用层通过API提供的进程信息。

13、如权利要求7-12中任意一个所述的系统，进一步包括隐藏进程删除模块，用来删除由隐藏进程探测模块探测的隐藏进程。

14、一种通过使用系统事件信息来探测隐藏进程的方法，包括步骤：

a)通过监视内核层系统来提取系统事件信息；

b)探测与来自于所提取的系统事件信息的事件相关的进程；

c)探测从应用层提供给用户的进程列表；以及

d)通过比较步骤b)中探测的进程和步骤c)中探测的进程列表中的进程，探测仅存在于内核层中的进程作为隐藏进程。

15、如权利要求14所述的方法，其中步骤a)包括步骤：

a-1)通过在内核层监视文件系统来提取文件事件信息；

a-2)通过监视在内核层中访问的注册信息来提取注册信息事件信息；以及

a-3)通过在内核层监视网络来提取网络事件信息。

16、如权利要求14和15中任意一个所述的系统，进一步包括删除在步骤d)中探测到的隐藏进程的步骤。