[发明专利]进程监控方法

说明书

技术领域

本发明涉及进程监控技术领域，尤其涉及一种进程监控方法。

背景技术

目前进程监控的一般做法都是通过注册系统的回调函数，当系统检测到有进程被创建的时候，就会调用已经注册好的回调函数。这时就可以根据回调函数中的参数得到进程ID，甚至进程名称和进程路径等信息。

但是这种方法的缺陷是当我们得到这个进程的信息时候，这个进程已经创建成功，如果是病毒进程或木马进程的话，已经开始危害我们的软件、系统或电脑。假如我们要销毁这个进程还要在利用一些微软公司提供的API(Application Programming Interface，应用程序编程接口)。实现起来比较麻烦，且不容易操作。

针对上述问题，提出了另一个的方法是HOOKObReferenceObjectByHandle来实现进程的监控，同样可以达到进程监控的目的。与上一种方法相比，HOOK ObReferenceObjectByHandle的方法，在拦截到进程创建的时候，进程并没有创建成功。所以不必担心这个非法运行的进程对我们的软件、系统或电脑造成危害。

但是，因为ObReferenceObjectByHandle这个API是系统底层的函数，所以在进行HOOK ObReferenceObjectByHandle的时候，一些在系统内核的无关进程也一起被拦截了，给系统造成了损害，而且HOOK ObReferenceObjectByHandle的方法实现起来也是繁琐，不利于推广应用。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是，针对上述缺陷，如何提供一种进程监控方法，其能够拦截正在创建的进程，大大降低了创建的非法进程对系统造成危害的可能，并且只拦截正在创建的进程，不会对系统中的其他已经运行的合法进程造成影响。

(二)技术方案

为解决上述技术问题，本发明提供了一种进程监控方法，所述进程监控方法包括步骤：

S1：获取NtCreateSection的API地址，用DetourNtCreateSection替换原来的NtCreateSection；

S2：根据DetourNtCreateSection对要创建的进程进行监控。

优选地，所述步骤S1具体包括：

步骤S11：获取NtCreateSection的服务ID号；

步骤S12：根据所获取的NtCreateSection的服务ID号计算得到所述NtCreateSection的API地址；

步骤S13：用DetourNtCreateSection替换原来的NtCreateSection。

优选地，在步骤S12之后还进一步包括把源API地址记录到一个全局变量的步骤。

优选地，在步骤S13之前还进一步包括使中断请求级别IRQL提升到延迟过程调用DPC级的步骤。

优选地，所述步骤S2具体包括：

步骤S21：根据DetourNtCreateSection中的最后一个参数FileHandle利用ObReferenceObject API得到将要创建的进程的文件对象FileObject；

步骤S22：判断文件对象是否为空？如果文件对象为空，则进入步骤S27，否则，进入步骤S23；

步骤S23：通过IoQueryFileDosDeviceName API根据FileObject得到正在创建进程的文件名；

步骤S24：根据所述文件名判断所述正在创建进程的文件是不是.exe文件？如果是，进入步骤S25，否则，进入步骤S27；

步骤S25：判断该正在创建进程的文件是不是在白名单中？如果是，进入步骤S27，否则，进入步骤S26；

步骤S26：调用ObDereferenceObjectAPI对这个文件对象的计数减1并返回STATUS_ACCESS_DENIED表示这个进程创建失败；

步骤S27：调用原始的NtCreateSecion。

优选地，在所述步骤S25之前进一步包括根据文件句柄得到文件路径的步骤；则步骤S25具体包括：根据文件名和文件路径判断该正在创建进程的文件是不是在白名单中？如果是，进入步骤S27，否则，进入步骤S26。

(三)有益效果