技術領域

本發明屬于計算機領域，具體來說，屬于一種計算機進程監控方法和系統。

背景技術

在現代的安全軟件應用技術中，APIHOOK是一種常用的監視應用程序 行為的手段。由于API層更接近用戶操作，所以有著內核監控不可取代的優 勢——如文件復制監控就無法通過內核驅動做到——所以即使在內核技術有 了極大發展的今天，APIHOOK仍然無法被取代并廣泛地應用在幾乎所有的 安全類產品中。

APIHOOK的原理是將DLL注入目標進程，通過寫相應API的內存地 址方式將相應API的調用轉接到我們自己的接口上，從而達到API監控的目 的，如HOOK了APICreateFileW后能很容易獲得程序打開了哪些文件。工 作流程如下：

APIHOOK在API調用監控中帶來了很多便捷，如開發難度低，監控 精確等，但由于軟件環境的復雜性，有許多兼容性問題：

1.殺毒軟件兼容性，因為多數病毒也會使用DLL注入，APIHOOK模塊 注入可能被殺軟攔截。

2.和其他APIHOOK的兼容性，系統中可能不止我們一個模塊使用API HOOK，如果其他模塊和我們HOOK了同一個API，由于內存反復改寫，可 能造成HOOK紊亂，進而導致目標進程崩潰。

發明內容

本發明所要解決的技術問題是提供一種精確的計算機進程監控方法和系 統，以克服現有技術存在的問題。

本發明解決上述技術問題所采取的技術方案如下：

一種計算機進程監控方法，包括：

步驟1)基于進程調試API函數掛接目標進程，并調用調試等待API函 數進入調試循環；

步驟2)創建調試事件線程，同時為當前線程設置異常API斷點；

步驟3)監視異常API斷點，其中，當異常斷點位置被調用時，將中斷信 息提交給安全軟件進程，由安全軟件進程分析后再使目標進程繼續執行。

進一步地，優選的是，步驟1)中，進程調試API函數為API DebugActiveProcess，所述調試等待API函數為WaitForDebugEvent。

進一步地，優選的是，步驟2)中，所述異常API斷點采取X86的一組 調試寄存器作為硬件斷點，其包括四個斷點寄存器，分別為Dr0，Dr1，Dr2， Dr3，這四個寄存器分別存儲著一個需要中斷的地址；此外，還包括一斷點描 述寄存器Dr7，其記錄上述四個寄存器的狀態，包括生效位、訪問位、斷點大 小位。

進一步地，優選的是，步驟2)中，具體包括以下子步驟：

步驟21)根據CPU的調試寄存器設定，定義相應數據結構，其包括斷點 地址、訪問位和斷點字節大小，同時利用結構體定義四個斷點寄存器的狀態， Dr7寄存器的值通過這個結構體計算得來。

步驟22)設置相關調試寄存器的值，由此設定硬件斷點。

進一步地，優選的是，步驟3)中，具體包括以下子步驟：

31)獲取異常事件EXCEPTION_DEBUG_EVENT并且異常地點為硬件斷 點設置的地點；

32)中斷線程，分析線程的寄存器上下文，并得到當前線程?？臻g，基于 使用棧來傳遞參數的原理，從棧上分析函數調用參數；

33)將中斷地址改為中斷地址的后一個地址，恢復進程的繼續執行后，再 將中斷地址改為之前的地址。

進一步地，優選的是，步驟33)中，使用ContinueDebugEvent傳參數為 DBG_CONTINUE，恢復進程的繼續執行。

一種計算機進程監控系統，包括：

進程掛接單元，用于基于進程調試API函數掛接目標進程，并調用調試 等待API函數進入調試循環；

進程創建的單元，用于創建調試事件線程，同時為當前線程設置異常API 斷點；

進程監控和提交單元，用于監視異常API斷點，其中，當異常斷點位置 被調用時，將中斷信息提交給安全軟件進程，由安全軟件進程分析后再使目標 進程繼續執行。