[发明专利]一种用户终端中恶意进程的识别方法、装置及用户终端

权利要求书

1.一种用户终端中恶意进程的识别方法，其特征在于，包括：

用户终端监测系统内第一运行进程的执行链条；

用户终端记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式，所述第一运行进程的关键行为，和/或，所述启动的子进程的进程信息；

用户终端确定系统内第一运行进程中启动的第一子进程为恶意进程，包括：所述用户终端从所述启动的子进程的进程信息中获取所述第一子进程的进程标识；所述用户终端向服务器发送查询请求，其中，所述查询请求中包括所述第一子进程的进程标识；所述用户终端当接收到所述服务器针对所述查询请求反馈的确认响应后，则确定所述第一子进程为恶意进程；

所述用户终端获取所述第一运行进程在启动所述第一子进程时的启动特征；

若在第二运行进程中启动第二子进程时包含所述启动特征，则识别所述第二子进程为恶意进程。

2.如权利要求1所述方法，其特征在于，所述用户终端确定系统内第一运行进程中启动的第一子进程为恶意进程，包括：

所述用户终端从所述第一运行进程的关键行为中获取所述第一运行进程对用户的提示信息；

所述用户终端判断所述提示信息是否提示开启所述第一子进程；

若判断的结果为否，则确定所述第一子进程为恶意进程。

3.如权利要求1或2所述方法，其特征在于，所述用户终端获取所述第一运行进程在启动所述第一子进程时的启动特征，包括：

所述用户终端从所述第一运行进程在启动子进程时的启动方式中获取所述第一运行进程在启动所述第一子进程时的启动方式；

所述用户终端从所述第一运行进程在启动所述第一子进程时的启动方式中获取所述第一子进程针对所述第一运行进程的结算参数；

所述用户终端将所述结算参数作为所述启动特征。

4.如权利要求3所述方法，其特征在于，在所述若在第二运行进程中启动第二子进程时包含所述启动特征，则识别所述第二子进程为恶意进程之前，所述方法还包括：

所述用户终端监测所述第二运行进程的执行链条；

当监测到所述第二运行进程的执行链条中所述第二运行进程启动所述第二子进程时，判断所述第二运行进程启动所述第二子进程的启动方式中是否包含所述结算参数；

若判断的结果为是，则识别所述第二子进程为恶意进程。

5.一种用户终端中恶意进程的识别装置，其特征在于，包括：

监测模块，用于在确定模块确定系统内第一运行进程中启动的第一子进程为恶意进程之前，监测所述系统内第一运行进程的执行链条；

记录模块，用于记录所述第一运行进程的执行链条中所述第一运行进程在启动子进程时的启动方式，所述第一运行进程的关键行为，和/或，所述启动的子进程的进程信息；

确定模块，用于确定系统内第一运行进程中启动的第一子进程为恶意进程；所述确定模块包括：标识获取单元，用于从所述启动的子进程的进程信息中获取所述第一子进程的进程标识；发送单元，用于向服务器发送查询请求，其中，所述查询请求中包括所述第一子进程的进程标识；确定单元，用于当接收到所述服务器针对所述查询请求反馈的确认响应后，则确定所述第一子进程为恶意进程；

获取模块，用于获取所述第一运行进程在启动所述第一子进程时的启动特征；

识别模块，用于若在第二运行进程中启动第二子进程时包含所述启动特征，则识别所述第二子进程为恶意进程。

6.如权利要求5所述装置，其特征在于，所述确定模块包括：

信息获取单元，用于从所述第一运行进程的关键行为中获取所述第一运行进程对用户的提示信息；

信息判断单元，用于判断所述提示信息是否提示开启所述第一子进程；

确定单元，用于当所述判断单元判断的结果为否，则确定所述第一子进程为恶意进程。