论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-10-09 10:27 |只看该作者 |倒序浏览

本帖最后由贺兰云天于 2010-10-09 10:29 编辑

比如电脑上运行QQ了，我想检测到它是不是QQ的进程，怎么做可靠些，而且方便？
我目前能想到的有：
第一：
大多数人都会的，比较进程对应的exe文件的名字，比如QQ.exe，那就是QQ了，而且现在有些厂家就是这么做的，但是有个致命缺点，如果人家把exe的名字改了，这时就识别不出来了，因此简单的程序名字比较貌似不能做的很尽善尽美。
第二：
采用md5sum方法，规则库中存储了各个常见软件的md5sum和对应的软件名称二元组集合，检测到一个进程时，就拿他对应程序的md5sum跟我的规则库中的md5sum比较，如果一致，说明运行的就是规则库中对应的软件，这个方法问题是需要大量的规则库，软件版本多了，要累死人的

第三：
我想的一种办法，多特征综合识别方法，需要多个特征结合，或的关系或者与的关系，比如有以下特征之一：
第一：安装路径中包含目录项 Tecent。
第二：运行程序名为QQ.exe
第三：====
其中同时满足这三个条件或者满足之一，就认为是QQ。。
这种方法相对第二种来说工作量稍微能小些，但是识别规则将会比较复杂。。用规则来描述和用程序去解析，难度大于方法1和方法2
不知道诸位有什么更好方法，请不吝赐教！谢谢

另外网络报文识别也是可行的，但是有些单机软件根本没有网络服务，因此暂时不用这个方法

文库|博客

hellioncu

巨富豪门

论坛徽章:: 324

2楼 [报告]

发表于 2010-10-09 10:30 |只看该作者

判断进程对应执行文件的资源

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dreamice

版主

论坛徽章:: 3

3楼 [报告]

发表于 2010-10-09 10:33 |只看该作者

提供网络服务的，最好通过检查进程名字和网络报文来识别，这样比较可靠，因为一个发行版的软件，一般不会因主机而异修改运行的进程名字；
单机的版的软件，还是要通过分析，确认他启用了什么服务，根据服务来确定比较好一些

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

贺兰云天

富足长乐

论坛徽章:: 0

4楼 [报告]

发表于 2010-10-09 10:34 |只看该作者

判断进程对应执行文件的资源
hellioncu 发表于 2010-10-09 10:30

能不能具体点，资源这个说法太广了啊

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

davelv

大富大贵

论坛徽章:: 0

5楼 [报告]

发表于 2010-10-09 10:35 |只看该作者

软件是给人用的，只有用户认为它是QQ，那么它就是QQ。
所以在某些情况下可以把选择抛给用户，让用户去指定其路径。这个对于开发者是最简单有效的，但是用户可能觉得你不够友好，所以这个自定义可以作为一个可选项处理。

或者在windows的功能集中营注册表里面去搜索QQ的路径（这个方法对于某些绿色版软件无效）

比较精确的还是你说的第三种方法。