[发明专利]定位服务操作者的方法和装置

说明书

技术领域

本发明涉及网络安全相关技术，尤其涉及一种定位服务操作者的方法和装置。 

背景技术

Window系统在操作系统启动时，启动进程，这些进程提供了一些不依赖与任何用户交互的机制，这种机制称为服务(service)或者Window服务(windows Service)。服务作为一种重要的能自行启动的系统机制，被安全软件和恶意程序所使用。安全软件作为服务安装后，在Window系统的操作系统启动时，如果能较早地启动，就可以尽早对Window系统进行安全监控。而对于恶意程序，如果能较早地启动，就可以绕过安全软件的监控，同时能利用Window系统的服务管理器停止系统中安全软件的工作。 

为了检测恶意程序，需要定位Windows系统服务操作者。现有的安全软件定位Windows系统服务操作者的方法是在用户态钩挂服务相关函数，如创建服务的函数(CreateService)，启动服务的函数(StartService)，控制服务的函数(ControlService)等，在应用程序调用这些函数时，安全软件通过逻辑判断允许或者拒绝应用程序对服务的操作。该方法可以定位Windows系统服务操作者，但是在用户态钩挂服务相关函数的安全性非常差，很容易被恶意程序在用户态将钩挂卸除。其中，当进程在执行用户自己的代码时，称其处于用户态。

发明内容

本发明提供一种定位服务操作者的方法和装置，用以实现安全、准确地定位服务操作者。 

本发明提供了一种定位服务操作者的方法，适用于Window系统，包括： 

监控到服务操作时，若系统的当前进程不是设定进程，则确定所述当前进程为所述服务操作的服务操作者； 

若系统的当前进程是设定进程，遍历所述系统的线程，获取所述服务操作的客户端的当前状态为挂起状态、并且所述挂起状态满足设定条件的线程的线程信息，确定与所述线程信息对应的进程为所述服务操作的服务操作者；所述设定进程包括Services.exe。 

本发明提供了一种定位服务操作者的装置，适用于Window系统，包括： 

监控模块，用于监控服务操作； 

第一判断模块，用于所述监控模块监控到服务操作时，判断系统的当前进程是否是设定进程； 

第一确定模块，用于当所述第一判断模块判断系统的当前进程不是设定进程时，确定所述当前进程为所述服务操作的服务操作者； 

第二确定模块，用于当所述第一判断模块判断系统的当前进程是设定进程时，遍历所述系统的线程，获取所述服务操作的客户端的当前状态为挂起状态、并且所述挂起状态满足设定条件的线程的线程信息，确定与所述线程信息对应的进程为所述服务操作的服务操作者； 

所述设定进程包括Services.exe。 

本发明通过当内核函数钩子监控到服务操作时，若系统的当前进程是设定进程，遍历系统的线程，获取服务操作的客户端的当前状态为挂起状态、 并且该挂起状态满足设定条件的线程的线程信息，确定与线程信息对应的进程为该服务操作的服务操作者，从而实现在内核态对服务相关函数进行挂钩，可以克服现有技术中在用户态对服务相关函数的钩挂安全性非常差的缺陷，安全、准确地定位服务操作者。 

附图说明

图1为本发明定位服务操作者的方法提供的一个实施例的流程图； 

图2为本发明定位服务操作者的方法提供的另一个实施例的流程图； 

图3为本发明定位服务操作者的方法提供的另一个实施例的流程图； 

图4为本发明定位服务操作者的方法提供的另一个实施例的流程图； 

图5为本发明定位服务操作者的装置提供的一个实施例的结构示意图； 

图6为本发明定位服务操作者的装置提供的另一个实施例的结构示意图； 

图7为本发明定位服务操作者的装置提供的另一个实施例的结构示意图； 

图8为本发明定位服务操作者的装置提供的另一个实施例的结构示意图。 

具体实施方式

为了更安全地监控系统中服务操作，可以通过内核函数钩子，监控服务操作，但是现在的情况是，在内核函数钩子监控到服务操作时，若检测到的当前进程是Services.exe进程，该Services.exe进程不是真正发起服务操作的操作者。