[发明专利]32位进程和64位进程交叉注入方法及装置

说明书

技术领域

本发明涉及安全应用技术领域，尤其涉及一种32位进程和64位进程交叉注入方法及装置。

背景技术

目前，随着windows 7系统的发布，64位操作系统越来越普及。64位系统的设计完全兼容32位系统，所以在64位系统上会同时存在32位进程和64位进程。但是由于64位进程基址和32位进程基址不一样，导致32进程不能对64位进程直接进行远程注入，反之亦然，64位进程也不能对32位进程直接进行远程注入。这样就会导致对用户进程的审计和控制不准确。

鉴于此，如何解决windows系统下32位进程和64位进程交叉远程注入的问题，以提高对用户进程的审计和控制的准确性成为目前需要解决的技术问题。

发明内容

为解决上述的技术问题，本发明提供一种32位进程和64位进程交叉注入方法及装置，能够解决windows系统下32位进程和64位进程交叉远程注入的问题，提高安全软件对用户进程行为的审计和控制的准确性。

第一方面，本发明提供一种32位进程和64位进程交叉注入方法，包括：

在第一进程启动第二进程时，将所述第二进程创建为一个暂停的进程，并获取所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息；

将所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息发送给第三进程；

所述第三进程根据接收的所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息，获取相应的注入信息，并根据所述注入信息，对所述第二进程进行远程注入；

其中，所述第三进程为所述第二进程的守护进程，所述第一进程与所述第二进程中的一个进程为64位进程、另一个进程为32位进程。

可选地，在所述对所述第二进程进行远程注入之后，还包括：

所述第三进程在对所述第二进程的远程注入完成之后，向所述第一进程发送注入完成信息；

所述第一进程在接收到所述第三进程发送的注入完成信息之后，使注入完成之后的第二进程继续运行。

可选地，在所述获取所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息之后，在所述将所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息发送给第三进程之前，还包括：

将所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息保存到共享内存中。

可选地，所述第一进程为64位进程，所述第二进程为32位进程。

可选地，所述第一进程为32位进程，所述第二进程为64位进程。

第二方面，本发明提供一种32位进程和64位进程交叉注入装置，包括：

获取模块，用于在第一进程启动第二进程时，将所述第二进程创建为一个暂停的进程，并获取所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息；

第一发送模块，用于将所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息发送给第三进程；

远程注入模块，用于所述第三进程根据接收的所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息，获取相应的注入信息，并根据所述注入信息，对所述第二进程进行远程注入；

其中，所述第三进程为所述第二进程的守护进程，所述第一进程与所述第二进程中的一个进程为64位进程、另一个进程为32位进程。

可选地，所述装置，还包括：

第二发送模块，用于所述第三进程在对所述第二进程的远程注入完成之后，向所述第一进程发送注入完成信息；

运行模块，用于所述第一进程在接收到所述第三进程发送的注入完成信息之后，使注入完成之后的第二进程继续运行。

可选地，所述装置，还包括：

保存模块，用于将所述第二进程的进程信息和所述第一进程中需注入所述第二进程的模块信息保存到共享内存中。

可选地，所述第一进程为64位进程，所述第二进程为32位进程。

可选地，所述第一进程为32位进程，所述第二进程为64位进程。

由上述技术方案可知，本发明的32位进程和64位进程交叉注入方法及装置，能够解决windows系统下32位进程和64位进程交叉远程注入的问题，提高安全软件对用户进程行为的审计和控制的准确性。

附图说明

图1为本发明一实施例提供的一种32位进程和64位进程交叉注入方法的流程示意图；