[发明专利]使用系统事件信息来探测隐藏进程的系统和方法

说明书

技术领域

本发明涉及一种用于探测隐藏进程(hidden process)的系统及方法，尤其是涉及一种用于通过使用系统事件信息提取从内核层提供的进程列表以及比较该由内核层提供的进程列表与由应用层提供的进程列表、从而使用系统事件信息来探测隐藏进程的系统及方法，以用于实时防止用户系统受到隐藏进程的损害，从而获得系统安全，其中，通过实时监视系统内核层来产生所述系统事件信息。

背景技术

由于隐藏进程和正常进程都是在系统内部执行，所以隐藏进程可以是与正常进程相比的同样类型的进程。然而，由于诸如rootkit之类的恶意代码将关于隐藏进程的信息相对于系统的应用层隐藏起来从而将隐藏进程相对于用户隐藏起来，因而用户不能够通过作为进程信息程序的任务管理器来辨认出隐藏进程的存在。

如上所述，隐藏进程不向应用层提供任何相关的信息。然而，由于隐藏进程需要通过在内核层中的资源分配来使用系统资源以执行隐藏进程的相关进程，所以隐藏进程在系统内核层上公开其信息。

因此，可以通过使用在系统资源被实时访问时提供的系统事件信息来探测访问系统资源的进程，并将探测到的进程与应用层中显示的进程相比较，从而探测隐藏进程。

作为传统的探测隐藏进程的方法，介绍了一种使用包括在EPROCESS结构中的“ActiveProcessLinks(活动进程链接)”的隐藏进程探测方案。该隐藏进程探测方案由Joanna Rutkowska在http://invisiblethings.org向公众公开。该隐藏进程探测方案如下面那样探测隐藏进程。从系统的应用层提取出相应的进程列表(a)。通过EPROCESS结构的ActiveProcessLinks从内核层提取出另一个进程列表(b)。在获得应用层进程列表(a)和内核层进程列表(b)之后，比较这些列表并找出仅在内核中存在的进程。在这里，将仅存在于内核中的进程确定为隐藏进程。使用EPROCESS结构的传统的隐藏进程探测方案具有如下的缺点。由于获取列表的时间延迟，使用EPROCESS结构的传统的隐藏进程探测方案有可能将正常进程确定为隐藏进程。同样，因为进程列表是通过EPROCESS结构的ActiveProcessLinks而获得的，因此如果Windows操作系统的结构被修改，使用EPROCESS结构的传统的隐藏进程探测方案将不能探测到隐藏进程，并且EPROCESS结构不是由生产Windows操作系统的微软公司产生的内部系统结构。

EPROCESS结构的ActiveProcessLinks被包括在相应的进程列表中，并且在系统资源被分配给系统中的相应进程时被执行。由此，当没有请求进行资源分配时，也即当进程处于周期性的空闲状态时，EPROCESS结构的ActiveProcessLinks不包括在相应的进程列表中。因此，使用EPROCESS结构的传统的隐藏进程探测方案不能探测到系统中处于空闲状态的隐藏进程。

由F-Securue公司介绍了BlackLight的beta版(http://www.f-secure.com/blacklight)，作为探测隐藏进程的传统产品。BlackLight的beta版使用了函数OpenProcess()，其被用来请求在Windows系统中当前运行的进程的信息。也就是说，BlackLight将所有的、能够在Window系统中产生的进程标识符(PID)值作为输入参数应用到相应的函数中。而后，根据从相应函数返回的值，BlackLight确定所应用的PID值的相应进程是否存在。如果相应的PID进程列表信息不在应用层中，那么相应的PID进程就被确定为隐藏进程。如上所述，BlackLight的beta版通过在系统的应用层中使用的应用程序接口(API)探测隐藏进程，而不在系统内核层中执行任何操作。然而，当调用本身具有PID值的函数OpenProcess()时，如果隐藏进程返回恶意形成的结果，那么BlackLight就不能探测到隐藏进程。在这种情况下，BlackLight确定在系统中不存在相应的进程。同时，使用函数OpenProcess()的隐藏进程探测方案不是实时的探测方案。它是一个使用扫描方法的隐藏进程探测方案。因此，当隐藏进程被激活或者已被终止时，使用函数OpenProcess()的隐藏进程探测方案不能探测到隐藏进程。

发明内容

因此，本发明致力于使用系统事件信息来探测隐藏进程的系统和方法，其实质上避免了由于相关技术的限制和缺陷而产生的一个或多个问题。