技術領域

本發明涉及安全防護技術領域，特別涉及一種防止遠程線程注入的方法、 裝置及電子設備。

背景技術

進程(Process)是計算機中的程序關于某數據集合上的一次運行活動，是 系統進行資源分配和調度的基本單位，是操作系統結構的基礎。在早期面向進 程設計的計算機結構中，進程是程序的基本執行實體；在當代面向線程設計的 計算機結構中，進程是線程的容器。程序是指令、數據及其組織形式的描述， 進程是程序的實體。

線程是進程中的一個實體，是被系統獨立調度和分派的基本單位，線程自 己不擁有系統資源，只擁有一點兒在運行中必不可少的資源，但它可與同屬一 個進程的其它線程共享進程所擁有的全部資源。一個線程可以創建和撤消另一 個線程，同一進程中的多個線程之間可以并發執行。

基礎類軟件為計算機的正常運行提供基礎的服務和保存系統重要的數據 信息，由于操作系統提供了CreateRemoteThreadEx系列函數,用于遠程創建 線程的運行，此時便可以入侵基礎服務類進程,讀取，破壞計算機基礎信息， 從而破壞系統正常運行。

發明內容

本發明所要達到的目的就是提供一種防止遠程線程注入的方法、裝置及電 子設備，能夠保護應用程序的正常運行。

為了達到上述目的，本發明采用如下技術方案：

一種防止遠程線程注入的方法，包括：

應用程序預先設置需要保護的進程標識信息；

待創建線程之前，操作系統觸發調用回調函數指令以對所述待創建線程進 行監視；

根據所述監視，獲取所述待創建線程所歸屬的進程的標識信息；

根據所述待創建線程所歸屬的進程的標識信息，同預先設定需要保護的進 程信息進行比較，判斷所述待創建線程所屬進程是否是要保護的進程；若是則 同意創建所述待創建線程。

在本發明的一個優選實施例中，在同意創建所述待創建線程之前還包括判 斷步驟：

獲取發起所述待創建線程的進程的標識信息，判斷此次發起所述待創建線 程的進程的標識信息是否等于待創建線程目標應用程序的進程信息。

在本發明的一個優選實施例中，若所述目標應用程序的線程數等于0或發 起所述待創建線程的進程等于目標應用程序的進程，則同意所述創建線程；

若發起所述待創建線程的進程不是目標應用程序的進程或目標應用程序 的線程數大于0，則拒絕創建所述待創建的線程。

在本發明的一個優選實施例中，所述標識信息是windows記錄進程的各種 信息的結構體，每個進程信息內容都是唯一的。

在本發明的一個優選實施例中，所述回調函數是指當操作系統本身發生某 種事件時刻，操作系統自主選擇調用的函數。

在本發明的一個優選實施例中，所述回調函數經由微軟官方提供的 PsSetCreateThreadNotifyRoutine系列函數設置形成。

在本發明的一個優選實施例中，所述操作系統的線程創建函數為操作系統 應用層的CreateRemoteThreadEx系列函數。

一種防止遠程線程注入的裝置，包括：

設置模塊，所述設置模塊用于應用程序預先設置需要保護的進程標識信 息；

驅動模塊，所述驅動模塊調用回調函數對所述待創建線程進行監視；

比較模塊，將所述待創建線程所歸屬的進程的標識信息，同預先設定需要 保護的進程信息進行比較；

控制模塊，根據由比較模塊獲取的比較結果動態調整所述待創建線程。

在本發明的一個優選實施例中，還包括判斷模塊，所述判斷模塊用于獲取 發起所述待創建線程的進程的標識信息，判斷此次發起所述待創建線程的進程 的標識信息是否等于待創建線程目標應用程序的進程信息。

一種防止遠程線程注入的電子設備，包括上述的裝置，所述電子設備為電 腦，平板或手機。

采用上述技術方案后，本發明具有如下優點：

本發明能夠保護應用程序的正常運行，防止其進程被惡意應用程序遠程注 入，提高整個系統的安全性和便捷性。

附圖說明