[发明专利]一种追溯恶意进程的方法、装置及存储介质

权利要求书

1.一种追溯恶意进程的方法，其特征在于，所述方法包括：

获取恶意进程数据；

从所述恶意进程数据中过滤出所述恶意进程的用户标识；

基于进程的用户标识和包名的对应关系，确定所述恶意进程的用户标识对应的恶意进程包名；

基于所述恶意进程包名对所述恶意进程进行追溯。

2.根据权利要求1所述的方法，其特征在于，所述基于进程的用户标识和包名的对应关系，确定所述恶意进程的用户标识对应的恶意进程包名，包括：

获取包管理文件；其中，所述包管理文件中至少包括恶意进程的用户标识和恶意进程包名的位置对应关系；

基于所述恶意进程的用户标识，从所述包管理文件中查找到对应的所述恶意进程包名。

3.根据权利要求2所述的方法，其特征在于，所述基于所述恶意进程的用户标识，从所述包管理文件中查找到对应的所述恶意进程包名，包括：

从所述包管理文件中获取所述恶意进程的用户标识及其相邻定位标识之间的数据，得到所述恶意进程包名。

4.根据权利要求1-3任一项所述的方法，其特征在于，

所述获取恶意进程数据，包括：

获取内核层上报的所述恶意进程数据。

5.根据权利要求4所述的方法，其特征在于，所述基于所述恶意进程包名对所述恶意进程进行追溯之后，所述方法还包括：

将所述恶意进程数据和所述恶意进程包名增添到埋点信息。

6.根据权利要求4所述的方法，其特征在于，所述获取内核层上报的所述恶意进程数据之前，所述方法还包括：

所述内核层判断当前进程是否属于恶意进程；

所述内核层若检测到当前进程为恶意进程时，对所述恶意进程进行查杀操作；

所述内核层获取所述恶意进程数据并上报。

7.根据权利要求6所述的方法，其特征在于，所述内核层判断当前进程是否属于恶意进程，包括：

调用所述当前进程时，获取所述当前进程的第一权限参数；

调用所述当前进程后，获取所述当前进程的第二权限参数；

若所述第二权限参数相对于所述第一权限参数发生变化，则所述当前进程属于恶意进程。

8.根据权利要求7所述的方法，其特征在于，所述若所述第二权限参数相对于所述第一权限参数发生变化，则所述当前进程属于恶意进程，包括：

若所述第二权限参数表示的权限范围大于所述第一权限参数表示的权限范围，则所述当前进程属于恶意进程。

9.一种追溯恶意进程的装置，其特征在于，所述装置包括：

获取单元，用于获取恶意进程数据；

过滤单元，用于从所述恶意进程数据中过滤出所述恶意进程的用户标识；

确定单元，用于基于进程的用户标识和包名的对应关系，确定所述恶意进程的用户标识对应的恶意进程包名；

执行单元，用于基于所述恶意进程包名对所述恶意进程进行追溯。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至8任一项所述的方法的步骤。