| 专利名称 | 检测进程的方法及设备 | 申请号 | CN200610165468.1 | 专利类型 | 发明专利 | 公开(公告)号 | CN101206692 | 公开(授权)日 | 2008.06.25 | 申请(专利权)人 | 联想(北京)有限公司 | 发明(设计)人 | 李俊;王凯 | 主分类号 | G06F21/00(2006.01)I | IPC主分类号 | G06F21/00(2006.01)I;G06F9/44(2006.01)I;G06F9/46(2006.01)I | 专利有效期 | 检测进程的方法及设备 至检测进程的方法及设备 | 法律状态 | 实质审查的生效 | 说明书摘要 | 本发明公开了一种进程的检测方法,该方法尤其针对内核级隐藏进程 进行检测,包括以下步骤:查找操作系统内核地址空间,得到上下文切换 函数地址;修改上下文切换函数首部地址内容为远程跳转指令,通过远程 跳转,访问进程结构体,获取进程信息。由于本发明从处于操作系统最底 层的线程上下文切换函数出发,可以获得最真实的内核对象信息,对于各 种操作系统版都能通用,能够对DKOM隐藏进程进行有效的检测;而且, 通过对上下文切换函数首部地址内容以及报警日志的动态监控和更新,保 证了隐藏进程检测的准确性。本发明还公开了一种进程的检测设备。 |
1、源头对接,价格透明
2、平台验证,实名审核
3、合同监控,代办手续
4、专员跟进,交易保障