开yun体育app官方下载入口 一种进程的处理方法和装置制造方法及图纸

本发明的专利技术提供了一种过程处理方法和设备，可以通过使用DLL文件和全局消息挂钩来防止恶意流程入侵安全软件，从而使恶意流程无法防止检测安全软件。该方法包括：创建线程时，在系统中注册各种本地消息挂钩，其中本地消息钩与系统中的消息函数具有相应的关系；当线程调用消息函数时，通过消息函数调用相应的本地消息挂钩，其中消息功能包括窗口创建函数；通过调用本地消息钩的回调函数，可以防止将全局消息挂钩挂接并返回以执行消息函数。

下载所有详细的技术信息

【技术实施步骤摘要】

本应用程序与计算机安全技术有关，尤其是流程处理方法和设备。

技术简介

当该过程中的线程创建或关闭窗口时，可以发现该线程是否具有消息挂钩，其中包括本地消息钩和全局消息钩，其中本地消息挂钩的优先级高于全局消息钩。也就是说，如果两个消息挂钩都存在，则首先调用本地消息挂钩，然后调用全局消息挂钩；如果仅存在其中一个消息挂钩，则将调用现有消息挂钩。为了避免被检测到，可以使用恶意过程（例如特洛伊木马进程）来通过加载动态链接库文件来防止安全软件检测。其中，动态链接库（DLL）文件允许程序共享执行特殊任务所需的代码和其他资源。当系统中运行恶意过程时，可以在系统中创建DLL文件，并在系统中注册一个全局消息挂钩，其中全局消息挂钩的DLL模块的基础地址指向恶意过程的DLL文件，而全局消息挂钩的回调函数则在恶意过程的DLL文件中。当安全软件过程中的线程创建或关闭窗口时，它将检测并调用全局消息挂钩。目前，系统将检测到特洛伊木马进程的DLL文件是否已加载在安全软件过程中。如果未加载，恶意过程的DLL文件将被加载到内存中。也就是说，恶意过程将恶意过程的DLL文件加载到安全软件中，然后通过全局消息挂钩，然后在DLL文件中调用回调函数，以通过回调函数更改安全软件。例如，结束安全软件的过程使安全软件无法启动。例如，修改安全软件的搜索函数，即开yun体育官网入口登录体育，当安全软件搜索恶意过程时开yun体育app入口登录，返回错误的结果（例如文件不存在）。因此，在艺术中熟练的人迫切解决了一个技术问题，就是提出一种过程处理方法，可以通过使用DLL文件和全局消息挂钩来防止恶意流程入侵安全软件，从而使恶意流程无法防止安全软件检测。

技术实施思想

本应用程序提供了一种流程处理方法和设备，可以通过使用DLL文件和全局消息挂钩来防止恶意流程侵入安全软件，从而使恶意流程无法防止检测安全软件。为了解决上述问题，该应用程序披露了一种过程处理方法，包括在创建线程时在系统中注册各种类型的本地消息挂钩，其中本地消息钩与系统中的消息函数具有相应的关系；当线程调用消息函数时，它通过消息函数调用相应的本地消息挂钩，其中信息功能包含窗口创建函数；通过调用本地消息钩的回调函数，可以防止将全局消息挂钩挂接并返回以执行消息函数。优选地，通过调用本地消息挂钩的回调函数，包括呼叫和执行本地消息挂钩的回调函数，从而避免了全局消息挂钩并返回执行消息函数，从而获得了回调函数的执行结果；根据回调函数的执行结果，拒绝调用全局消息钩云开·全站app登录网页入口，并返回执行消息函数。优选地，在消息函数调用相应的本地消息钩之前，它进一步包括检测是否存在与系统中消息函数相对应的消息钩，其中消息挂钩包括本地消息钩和一个全局消息钩，以及本地消息挂钩的优先级高于全局消息钩。最好是，消息函数是窗口创建函数。当线程调用消息函数时，它通过消息函数调用相应的本地消息钩，包括一个呼叫窗口创建函数以创建窗口的线程。在创建窗口之前，窗口创建功能调用相应的本地消息钩。

优选地，当线程调用第三方线程时，如果第三方线程调用消息函数，则通过消息函数调用相应的本地消息挂钩。最好的是，消息功能还包括消息发送功能，消息接收功能，消息检查功能，鼠标消息功能和键盘消息功能。因此，该应用程序还披露了一个流程（包括注册模块）的处理设备，用于在创建线程时注册系统中各种类型的本地消息钩，其中本地消息钩与系统中的消息函数具有相应的关系；呼叫模块用于线程在调用消息函数时通过消息函数调用相应的本地消息钩，其中消息函数包括窗口创建函数；块和返回模块用于通过调用本地消息钩的回调函数来防止全局消息挂钩被调用并返回以执行消息函数。最好是，阻止和返回模块包括调用和执行子模块，用于调用和执行本地消息挂钩的回调函数，从而获得回调函数的执行结果；阻止和返回子模块，以根据回调函数的执行结果拒绝调用全局消息挂钩并返回到执行消息函数。优选，该设备进一步包括一个检测模块，用于检测是否有与系统中消息函数相对应的消息挂钩，其中消息挂钩包含本地消息挂钩和一个全局消息钩，并且本地消息挂钩的优先级高于全局消息挂钩。最好是，消息函数是窗口创建函数。调用模块用于线程调用窗口创建函数以创建窗口。在创建窗口之前，窗口创建功能调用相应的本地消息钩。

优选，该设备进一步包括第三方调用模块，用于何时调用第三方线程，如果第三方线程调用消息函数，则消息函数基于相应的本地消息挂钩。与先前的艺术相比，该应用程序包括以下优点：首先，在线程创建期间系统中在系统中注册了各种类型的本地消息钩，并且在调用消息函数时调用相应的本地消息挂钩。本地消息挂钩有权决定是否调用后续消息挂钩。通过调用本地消息钩的回调函数，可以防止打电话给全局消息挂钩并返回以执行消息函数。这可以通过使用DLL文件和全局消息挂钩来防止恶意流程入侵安全软件，从而防止恶意流程阻止安全软件检测，从而维护系统安全。其次，当线程调用第三方线程时，如果第三方线程调用消息函数，则通过消息函数调用相应的本地消息挂钩。这进一步确保了系统的安全性，并确保恶意流程无法阻止检测安全软件。简要说明图纸以更清楚地说明专利技术实施例的实施例的技术解决方案，将在下面简要介绍实施方案描述所需的随附图纸。显然，以下描述中的伴随图只是专利技术的一些实施例。对于那些熟练艺术的人，也可以根据这些随附的图纸而无需花费创意劳动来获得其他随附的图纸。图1是在本应用实施方案中描述的过程的流程图。图2是在本应用实施方案中描述的过程的结构图。

特定的实施例，根据专利技术实施方案中的伴随图纸将清楚而完全描述。显然，所描述的实施方案只是专利技术实施方案的一部分，而不是所有实施方案。基于该专利技术的实施例，在没有创造性劳动的情况下熟练的人获得的所有其他实施方案都属于该专利技术的保护范围。当该过程中的线程创建或关闭窗口时，可以发现该线程是否具有消息挂钩，其中包括本地消息钩和全局消息钩，其中本地消息挂钩的优先级高于全局消息钩。也就是说，如果两个消息挂钩都存在，则首先调用本地消息挂钩，然后调用全局消息挂钩；如果仅存在其中一个消息挂钩，则将调用现有消息挂钩。为了避免被检测到，恶意过程可以在系统中运行时创建DLL文件，并在系统中注册全局消息挂钩。当安全软件运行时，恶意过程可以通过全局消息挂钩加载DLL文件到安全软件中，然后在DLL文件中调用回调函数，然后通过回调函数更改安全软件。例如，结束安全软件的过程使安全软件无法启动，例如，修改安全软件的搜索功能，即，当安全软件搜索恶意过程时，返回错误结果（例如文件不存在）。其中，恶意过程是指恶意软件的过程，包括在计算机系统中故意执行恶意任务的病毒，螺旋和特洛伊木马。该应用程序通过注册本地消息挂钩提供了一种流程处理方法，以防止恶意流程通过使用DLL文件和全局消息挂钩侵入安全软件，从而使恶意流程无法防止安全软件检测。参考图的具体方法。 1下面给出了在本应用实施方案中描述的处理方法的流程图。步骤11：创建线程时，在系统中注册各种本地消息钩；当软件流程运行时，它可以

【技术保护点】

该过程处理方法在其中包括：在创建线程时，在系统中注册了各种类型的本地消息钩，其中本地消息钩与系统中的消息函数具有相应的关系；当线程调用消息函数时，它通过消息函数调用相应的本地消息挂钩，其中信息功能包含窗口创建函数；通过调用本地消息钩的回调函数，可以防止将全局消息挂钩挂接并返回以执行消息函数。

【技术特征摘要】

[专利技术属性]

技术研发人员：棕褐色，Yao Tong，Shao Jianlei，Ma Zhenhui，

申请人（专利权）：北京Qihoo Technology Co.，Ltd。，Qizhi Software Beijing Co.，Ltd.，

类型：发明

国家，省和城市：

下载所有详细的技术信息。我是该专利的所有者