本發明實施例提供一種確定子進程的父進程的方法、設備及計算機存儲介質，該方法包括：獲取子進程所對應的內存地址信息；根據所述內存地址信息，查找信息列表，所述信息列表包括多條內存詳細信息；基于特定篩選條件遍歷所述信息列表，篩選出與所述子進程對應的父進程的進程路徑信息。

技術領域

本發明涉及系統安全技術領域，尤其涉及一種確定子進程的父進程的方法、設備及其計算機存儲介質。

背景技術

一個完整的程序會由多層級的進程鏈構成。其中，所述多層級的進程鏈通常包括子進程、父進程、父父進程、父父父進程以及更上一級的進程等等。在程序運行過程中子進程的父進程被關閉(或由于其他原因)之后，父進程將處于退出狀態。這樣，當父進程退出后，終端只能獲取到子進程的進程信息，而無法獲取到該子進程的父進程的進程信息，導致無法最后根據獲取到的進程鏈上的全部進程的進程信息鑒定程序的運行行為。

在中國專利申請公開CN105608375A中公開了一種進程信息獲取方法，所述進程信息獲取方法通過創建進程數據表的方式監控并記錄了進程創建過程，比如使用驅動設置PsSetCreateProcessNotifyRoutine回調，獲取到創建子進程操作，并在此時記錄下該子進程的進程信息，以供后續查詢。因此，當某一進程退出的情況下，可以從預先創建的進程數據表中獲取到進程鏈上的全部進程的進程信息。

然而，上述進程信息獲取方法存在如下缺陷：1)終端在處理器進行程序運行的過程中增加實時監控進程創建過程，故使得處理器的處理速率下降；2)終端需要在實時監控進程創建過程的基礎上，以創建進程數據表的方式不斷記錄整個進程創建過程，必然會占用較大的存儲空間，從而引起存儲空間不足等問題。

發明內容

鑒于上述問題，提出了本發明，以便提供一種克服上述問題或者至少部分地解決上述問題的一種確定子進程的父進程的方法、設備及計算機存儲介質。

依據本發明的第一方面，提供一種確定子進程的父進程的方法，包括：獲取子進程所對應的內存地址信息；根據所述內存地址信息，查找信息列表，所述信息列表包括多條內存詳細信息；基于特定篩選條件遍歷所述信息列表，篩選出與所述子進程對應的父進程的進程路徑信息。

可選的，在根據本發明的實施例的確定子進程的父進程的方法中，基于特定篩選條件遍歷所述信息列表，篩選出與所述子進程對應的父進程的進程路徑信息，包括：基于特定篩選條件遍歷所述信息列表，篩選出目標詳細信息；根據特定偏移地址獲取所述目標詳細信息的內存內容，并將所述內存內容確定為與所述子進程對應的父進程的進程路徑信息；其中，所述特定偏移地址的取值為目標詳細信息的起始地址與特定偏移量二者之和，所述特定偏移量用于指示所述進程路徑信息在所述目標詳細信息中所處的位置。

可選的，在根據本發明的實施例的確定子進程的父進程的方法中，所述特定偏移量的取值因操作系統版本的不同而不同。

可選的，在根據本發明的實施例的確定子進程的父進程的方法中，所述特定篩選條件包括如下條件至少之一：內存詳細信息的大小、類型、狀態、保護及使用方式。

可選的，在根據本發明的實施例的確定子進程的父進程的方法中，所述大小的取值為4k字節；類型的取值為私有；狀態的取值為提交；保護的取值為讀寫；和/或使用方式的取值為進程環境塊(Process Environment Block，PEB)。

可選的，在根據本發明的實施例的確定子進程的父進程的方法中，基于特定篩選條件遍歷所述信息列表，篩選出目標詳細信息，包括：基于內存詳細信息的大小、類型、狀態、保護及使用方式中的至少之一來遍歷所述信息列表進行篩選，得到由取值為PEB的使用方式所唯一確定的內存詳細信息；將所述信息列表中緊鄰由取值為PEB的使用方式所唯一確定的內存詳細信息的下一條內存詳細信息，作為目標詳細信息。