(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111680683.6 (22)申请日 2021.12.31 (65)同一申请的已公布的文献号 申请公布号 CN 114462026 A (43)申请公布日 2022.05.10 (73)专利权人 北京亿赛 通科技发展 有限责任公 司 地址 100089 北京市海淀区西二 旗大街39 号4层401 (72)发明人 朱贺军　杨博华　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 李婷 (51)Int.Cl. G06F 21/55(2013.01)G06F 21/60(2013.01) (56)对比文件 CN 113792299 A,2021.12.14 CN 101901313 A,2010.12.01 CN 106648815 A,2017.0 5.10 CN 110750346 A,2020.02.04 陈鹏.基于Linux虚拟化的内核 级Rootkit的 攻击检测研究. 《中国优秀硕士学位 论文全文数 据库 （电子期刊） 》 .2021,第1- 66页. 审查员 李佳曦 (54)发明名称 密文进程监控方法、 装置、 设备及计算机可 读存储介质 (57)摘要 本发明公开了一种密文进程监控方法、 装 置、 设备及计算机可读存储介质， 所述密文进程 监控方法包括： 获取密文进程的配置策略， 在 ftrace机制中配置配置策略； 获取当前进程， 若 当前进程为密文进程， 则根据ftrac e机制中的配 置策略对当前进程中的文件执行对应的操作。 本 发明利用linux自带的ftrace机制对密文配置 策 略进行配置， 实现对linux系统中的密文进程进 行监控， 不存在传统hook技术上直接修改系统调 用表的方法中， 需要绕过内存写保护机制的问 题， 消除了传统直接修改系统调用表方法中对安 全稳定性的不良影 响， 大大提升了系统的稳定性 能。 权利要求书2页 说明书8页 附图3页 CN 114462026 B 2022.11.18 CN 114462026 B 1.一种密文 进程监控方法， 其特 征在于， 所述密文 进程监控方法包括 步骤： 获取密文 进程的配置策略， 在ft race机制中配置所述配置策略； 获取当前进程， 判断所述当前进程是否为密文 进程； 若所述当前进程为密文进程， 则根据所述ftrace机制中的配置策略对所述当前进程中 的文件执 行对应的操作； 所述在ft race机制中配置所述配置策略的步骤 包括： 确定系统调用表中所述配置策略对应的目标函数； 获取所述目标函数的名称， 根据所述目标函数的名称确定所述目标函数的地址； 将所述目标函数的地址 输入至所述ft race机制中； 所述将所述目标函数的地址 输入至所述ft race机制中的步骤 包括： 在所述ft race机制的构造 字段中输入所述目标函数的地址； 在所述ft race机制中对所述目标函数进行替换， 得到指定函数； 所述根据所述ft race机制对所述当前进程中的文件执 行对应的操作的步骤 包括： 获取所述当前进程中的密文文件， 调用所述指定函数对所述密文文件执行对应的操 作。 2.如权利要求1所述的密文进程监控方法， 其特征在于， 所述调用所述指定函数对所述 密文文件执行对应的操作的步骤 包括： 若所述目标函数为关闭函数， 则调用所述指定函数对所述密文 文件进行加密； 根据所述指定函数关闭加密后的文件， 并关闭所述ft race机制。 3.如权利要求2所述的密文进程监控方法， 其特征在于， 所述判断所述当前进程是否为 密文进程的步骤之后， 包括： 若所述当前进程 不为密文进程， 则调用所述配置策略对应的目标函数； 根据所述目标函数对所述当前进程中的明文 文件执行对应的操作。 4.如权利要求3所述的密文进程监控方法， 其特征在于， 所述根据 所述目标函数对所述 当前进程中的明文 文件执行对应的操作的步骤 包括： 若所述目标函数为关闭函数， 则调用所述关闭函数关闭所述明文 文件。 5.一种密文 进程监控装置， 其特 征在于， 所述密文 进程监控装置包括： 策略配置模块， 用于获取密文进程的配置策略， 在ftrace机制中配置所述配置策略， 具 体地， 所述策 略配置模块在ftrace机制中配置所述配置策 略的步骤包括： 确 定系统调用表 中所述配置策略对应的目标函数； 获取所述 目标函数 的名称， 根据所述 目标函数 的名称确 定所述目标函数的地址； 在所述ftrace机制的构造字段中输入所述目标函数的地址； 在所 述ftrace机制中对所述目标函数进行替换， 得到指定函数， 以实现将所述目标函数的地址 输入至所述ft race机制中； 进程判断模块， 用于获取当前进程， 判断所述当前进程是否为密文 进程； 进程执行模块， 若所述当前进程为密文进程， 则根据所述ftrace机制中的配置策略对 所述当前进程中的文件执行对应的操作， 具体地， 所述进程执行模块获取所述当前进程中 的密文文件， 调用所述指定函数对所述密文 文件执行对应的操作。 6.一种密文进程监控设备， 其特征在于， 所述密文进程监控设备包括存储器、 处理器、 以及存储在所述存储器上并可在所述处理器上运行的密 文进程监控程序， 所述密 文进程监权　利　要　求　书 1/2 页 2 CN 114462026 B 2控程序配置为实现如权利要求1至4中任一项所述的密文 进程监控方法的步骤。 7.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有密文进 程监控程序， 所述密文进程监控程序被处理器执行时实现如权利要求1至4中任一项 所述的 密文进程监控方法的步骤。权　利　要　求　书 2/2 页 3 CN 114462026 B 3