买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明公开一种进程树创建追踪与动态监控的方法。本发明采用hook_fork.dll负责初始化监控环境，包括创建共享内存和同步资源，用于存储和管理进程创建的记录。并开发针对不同平台架构的进程创建钩子DLLhook_spawn_32.dll和hook_spawn_64.dll，实现对CreateProcess系列API的动态替换，确保新进程创建时自动注入监控逻辑。本发明实现精细的进程创建监控逻辑，通过注入‑记录‑恢复的流程，确保在不影响目标进程正常执行的前提下，全面捕获进程创建链路，记录于共享内存中。

主权项：1.一种进程树创建追踪与动态监控的方法，其特征在于，包括以下步骤：S1：创建两个动态库文件：hook_fook.dll、hook_spawn.dll；所述hook_fook.dll用于初始化监控环境，包括创建共享内存和同步资源，用于存储和管理进程创建的记录；所述hook_fork.dll为注入的sdk，提供hook接口，用于注入待监控的根进程，参数为待监控的根进程的进程id；hook_spawn.dll用于对CreateProcess系列API的动态替换，确保新进程创建时自动注入监控逻辑；S2：当调用hook_fork.dll的hook接口开始监控一个进程树时，进程树的根进程的进程id为pid_x，进行以下流程：S21：创建名为event_pid_x的进程间通信的event；S22：创建名为fork_pid_x的A字节的共享内存，其中前B字节用于存放上述event的名称；中间C字节记录进程树记录数，后续的D字节用于存储后续的进程树的进程id；S23：创建名为spwan_pid_x的E字节的共享内存，其中前F字节用于存储根进程的进程id，即pid_x，后续G字节用于标记注入是否完成；S24：向根进程pid_x注入hook_spawn.dll；S25：等待hook_spawn.dll注入完成；S3：每当进程pid_x被注入hook_spawn.dll时，进行以下流程；S31：打开名为spawn_pid_x的E字节的共享内存，从其中的前F字节获取根进程的进程id，即pid_x，并将后续G字节标记为完成状态；S32：打开名为fork_pid_x的共享内存，读取前B字节的event名称，打开event，并在event保证同步的情况下，读取中间C字节的记录数，将pid_x写入后面的共享内存，并更新中间C字节的记录数；S33：将CreateProcess系统函数替换为修改参数后的函数，所述参数为流程S31、S32中改变的参数；并将原函数，即CreateProcess系统函数记为TrueCreateProcessW，将替换后的函数记录为MineCreateProcessW；；S34：将spawn_pid_x的后续G字节标记为完成状态；S4：任何程序需要监控pid_x进程树时，只需要打开名为fork_pid_x的共享内存，读取中间的C字节获取进程树的大小，并读取后续字节读取进程树中的进程id。

全文数据：

权利要求：

百度查询： 深圳市云语科技有限公司 一种进程树创建追踪与动态监控的方法