[发明专利]一种进程信息获取方法及装置

说明书

技术领域

本发明涉及系统安全技术领域，尤其涉及一种进程信息获取方法及装置。

背景技术

在程序执行过程中，需要通过windowsAPI(ApplicationProgramInterface， 应用程序接口)函数获取进程链信息，如：CreateToolhelp32Snapshot， Process32First，Process32Next，OpenProcess，NtQueryInformationProcess等API 函数，通过这些API函数可以枚举进程的进程信息，这些进程的进程信息串起 来构成一条进程链，该进程链包括子进程、父进程、父父进程、父父父进程以 及更上一级的进程等等。但是，这些API函数均只能获取正在运行的进程信息， 如果某一进程退出，就无法获取该进程的父进程信息，进而无法根据父进程的 进程信息获取进程链上的更上一级的进程信息，比如当父进程退出后，就只能 获取到子进程的进程信息，而无法获取到该子进程的父进程、父父进程、父父 父进程以及更上一级的进程的进程信息，导致无法最后根据获取到的进程链上 的全部进程的进程信息鉴定程序的运行行为。

发明内容

本发明实施例提供一种进程信息获取方法及装置。在某一进程退出的情况 下，也可以从预先创建的进程数据表中获取到进程链上的全部进程的进程信息， 进而根据获取到进程链信息精确鉴定程序整个运行行为。

本发明第一方面提供了一种进程信息获取方法，包括：

当检测到程序正在执行任务项时，获取所述任务项的进程标识；

根据所述任务项的进程标识，从预先建立的进程数据表中查找与所述任务 项的进程标识相同的标识信息所对应的目标子进程，所述进程数据表包括多个 节点，所述多个节点中的每个节点包含父进程的进程信息以及子进程的进程信 息，所述进程信息包括标识信息；

确定所述目标子进程所属的所述进程数据表中的节点；

当确定所述目标子进程属于所述进程数据表中的目标节点时，获取所述目 标节点中的子进程的进程信息以及所述目标节点中的父进程的进程信息，进而 从所述进程数据表中的其他节点中获取所述目标节点中的父进程的上一级进程 的进程信息，以根据获取到的全部进程的进程信息判定所述程序的运行行为。

其中，所述从所述进程数据表中的其他节点中获取所述目标节点中的父进 程的上级进程的进程信息包括：

获取所述目标节点中的父进程的标识信息；

根据所述目标节点中的父进程的标识信息，从所述进程数据表中查找与所 述目标节点中的父进程的标识信息相同的标识信息所对应的其他节点中的子进 程；

获取所述其他节点中的子进程的进程信息以及所述其他节点中的父进程的 进程信息，其中，所述其他节点中的子进程为所述目标节点中的父进程的上一 级进程。

其中，所述当检测到程序正在执行任务项时，获取所述任务项的进程标识 之前，还包括；

通过预设的内核回调函数创建父进程以及子进程，并将所述父进程以及所 述子进程作为所述进程数据表中的一个节点，其中，所述子进程与所述父进程 存在继承关系。

其中，所述进程信息还包括进程名称以及进程路径信息。

相应地，本发明第二方面提供了一种进程信息获取装置，包括：

标识获取模块，用于当检测到程序正在执行任务项时，获取所述任务项的 进程标识；

信息查找模块，用于根据所述任务项的进程标识，从预先建立的进程数据 表中查找与所述任务项的进程标识相同的标识信息所对应的目标子进程，所述 进程数据表包括多个节点，所述多个节点中的每个节点包含父进程的进程信息 以及子进程的进程信息，所述进程信息包括标识信息；

节点确定模块，用于确定所述目标子进程所属的所述进程数据表中的节点

信息获取模块，用于当确定所述目标子进程属于所述进程数据表中的目标 节点时，获取所述目标节点中的子进程的进程信息以及所述目标节点中的父进 程的进程信息，进而从所述进程数据表中的其他节点中获取所述目标节点中的 父进程的上一级进程的进程信息，以根据获取到的全部进程的进程信息判定所 述程序的运行行为。

其中，所述信息获取模块还用于：

获取所述目标节点中的父进程的标识信息；