[发明专利]一种进程行为控制的方法和装置

说明书

技术领域

本发明涉及计算机设备安全的领域，具体涉及一种进程行为控制的方法，以及，一种进程行为控制的装置，以及，一种进程行为控制的底层驱动系统。

背景技术

Windows操作系统的广泛应用导致其成为了遭受恶意软件攻击最严重的操作系统，它的安全性问题成为了用户及计算机安全研究人员关注的焦点。

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。恶意软件最常用的实现技术是钩子技术，通过使用钩子技术，恶意软件可以改变操作系统正常的执行路径，从而破坏系统或者窃取用户信息。

目前，常用的一种防护做法是通过对在Windows操作系统下的钩子的检测来实现对恶意软件的防护设计。Windows操作系统下的钩子通过调用回调函数来完成对系统的回调，因此，拦截对回调函数的调用就能获取钩子的进程信息，但是，对钩子回调函数的调用的拦截处理不在很容易引起系统的卡死。

因此，本领域技术人员迫切需要解决的技术问题是：在拦截消息钩子对回调函数的调用时，如何保证系统的稳定性。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种进程行为控制的方法和相应的一种进程行为控制的装置，以及相应的一种进程行为控制的底层驱动系统。

依据本发明的一个方面，提供了一种进程行为控制的方法，包括：

在检测到键盘输入或按键输入行为时，底层驱动拦截消息钩子对回调函数的调用；其中，所述消息钩子与触发当前键盘输入或按键输入行为的进程关联；

底层驱动将所述与消息钩子关联的进程的信息发送至应用层；

底层驱动阻止或允许所述与消息钩子关联进程触发的行为；

应用层依据所述与消息钩子关联的进程的信息，判断是否阻止或允许对应进程触发的行为，并将判断结果通知底层驱动；

底层驱动根据应用层的判断结果执行相应的阻止或允许对应进程触发的行为的操作。可选地，所述底层驱动阻止或允许所述与消息钩子关联进程触发的行为的步骤包括：

应用层生成阻止或允许所述与消息钩子关联进程触发的行为的信息，并发送至底层驱动；

底层驱动依据所述信息阻止或允许对应进程触发的行为。

可选地，所述底层驱动根据应用层的判断结果执行相应的阻止或允许对应进程触发的行为的操作的步骤包括：

底层驱动根据应用层的判断结果记录相关规则，所述相关规则包括：

在应用层判断为阻止对应进程触发的行为时，底层驱动记录为阻止对应进程触发的行为的规则；

在应用层判断为允许对应进程触发的行为时，底层驱动记录为允许对应进程触发的行为的规则；

底层驱动根据所述相关规则执行相应的阻止或允许对应进程触发的行为的操作，所述操作包括：

底层驱动根据记录为阻止对应进程触发的行为的规则执行阻止对应进程触发的行为的操作；

底层驱动根据记录为允许对应进程触发的行为的规则执行允许对应进程触发的行为的操作。

可选地，所述应用层判断是否阻止或允许对应进程触发的行为的判断结果，依据向用户显示与消息钩子关联的进程的信息，接收用户选择的阻止或允许该进程触发行为的信息生成。

根据本发明的另一方面，提供了一种进程行为控制的装置，包括：

位于底层驱动的拦截模块，用于在检测到键盘输入或按键输入行为时，拦截消息钩子对回调函数的调用；其中，所述消息钩子与触发当前键盘输入或按键输入行为的进程关联；

位于底层驱动的发送模块，用于将所述与消息钩子关联的进程的信息发送至应用层；

位于底层驱动的第一执行模块，用于阻止或允许所述与消息钩子关联进程触发的行为；

位于应用层的判断模块，用于依据所述与消息钩子关联的进程的信息，判断是否阻止或允许对应进程触发的行为，并将判断结果通知底层驱动；

位于底层驱动的第二执行模块，用于根据应用层的判断结果执行相应的阻止或允许对应进程触发的行为的操作。

可选地，所述位于底层驱动的第一执行模块包括：

位于应用层的判断信息生成子模块，用于生成阻止或允许所述与消息钩子关联进程触发的行为的信息，并发送至底层驱动；

位于底层驱动的第一执行子模块，用于依据所述信息阻止或允许对应进程触发的行为。

可选地，所述位于底层驱动的第二执行模块包括：

位于底层驱动的规则记录子模块，用于根据应用层的判断结果记录相关规则，所述相关规则包括：