[发明专利]一种可疑进程检测的方法和装置

权利要求书

1.一种可疑进程检测的方法，其特征在于，包括：

获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名；

若某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

2.根据权利要求1所述的方法，其特征在于，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程。

3.根据权利要求2所述的方法，其特征在于，所述获取浏览器中各运行进程的第一特征数据的步骤包括：

获取浏览器中各运行进程的可执行文件的路径；

从所述路径提取相应的可执行文件；

读取所述可执行文件的内容计算哈希值；

以及，

提取所述可执行文件的数字签名。

4.根据权利要求3所述的方法，其特征在于，所述数字签名采用如下方式生成：

1)对要签名的可执行文件创建hash值；

2)使用发布者的私钥来加密上述hash值；

3)将被加密的hash值和发布者的数字证书插入到要签名的可执行文件；

以及，所述数字签名采用如下方式提取：

1)对要验证的可执行文件创建hash值；

2)使用发布者的公钥来解密被加密的hash值；

3)比较解密的hash值和新创建的hash值，如果匹配说明签名是正确的，提取发布者的数字证书信息。

5.根据权利要求1或2或3或4所述的方法，其特征在于，所述第一特征数据还包括进程的可执行文件的路径，所述第一白名单数据库中还包括可信路径。

6.根据权利要求5所述的方法，其特征在于，还包括：

若某个进程的第一特征数据在所述预置的第一白名单数据库中，则进一步提取该进程的第二特征数据，所述第二特征数据包括进程的可执行文件所执行参数中的文件路径；

在所述文件路径下提取相应文件的信息；

采用所述提取的文件信息在预置的第二白名单数据库中进行匹配，所述第二白名单数据库中包括可信的文件信息；

若所述提取的文件信息不在所述预置的第二白名单数据库中，则判定该进程为可疑进程。

7.根据权利要求6所述的方法，其特征在于，还包括：

针对可疑进程发出可疑进程提示信息并结束该进程；

或者，

针对可疑进程发出可疑进程提示信息并阻止该进程运行。

8.一种可疑进程检测的装置，其特征在于，包括：

进程信息获取模块，用于获取浏览器中各运行进程的第一特征数据，所述第一特征数据包括进程的可执行文件的哈希值和数字签名；

白名单检测模块，用于采用所述第一特征数据在预置的第一白名单数据库中进行匹配，所述第一白名单数据库中包括可信的文件哈希值和可信的文件数字签名；

第一判定模块，用于在某个进程的第一特征数据不在所述预置的第一白名单数据库中，则判定该进程为可疑进程。

9.根据权利要求8所述的装置，其特征在于，所述浏览器中各运行进程包括浏览器正在启动的进程以及浏览器中已启动的进程。

10.根据权利要求9所述的装置，其特征在于，所述进程信息获取模块包括：

可执行文件路径获取子模块，用于获取浏览器中各运行进程的可执行文件的路径；

可执行文件提取子模块，用于从所述路径提取相应的可执行文件；

内容读取子模块，用于读取所述可执行文件的内容计算哈希值；

以及，

数字签名提取子模块，用于提取所述可执行文件的数字签名。

11.根据权利要求8或9或10所述的装置，其特征在于，所述第一特征数据还包括进程的可执行文件的路径，所述第一白名单数据库中还包括可信路径。