一种审计TIM聊天内容的方法,包括如下步骤:a)安装一个Windows消息钩子函数;b)通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中;c)将真实地址作为原始地址保存;d)完成对TIM程序中消息发送和接收的导出函数的挂钩操作;e)Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词;f)Windows消息钩子函数对发送消息或文件进行阻断;g)Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中。通过获取TIM聊天工具具体的消息发送及接收导出函数,并且对聊天信息进行分析阻断,提高了TIM软件对聊天信息的审计,防止泄密情况的发生。
【技术实现步骤摘要】
一种审计TIM聊天内容的方法
本专利技术涉及聊天工具内容安全领域,具体涉及一种审计TIM聊天内容的方法。
技术介绍
当前互联网通讯工具剧增,TIM作为腾讯新推出的专门为办公使用的一款聊天工具,因界面简洁,小工具实用等方面迅速占领了职场的聊天市场,即时聊天工具主动泄密的问题一直是企业机密信息的安全隐患,由其造成的损失已经了不可忽视的影响,一种新的聊天工具的出现标识着更多的泄密途径。TIM作为新出的聊天工具,市面上暂时未出现完善的聊天信息审计,大部分采用界面分析的方式来进行实现,但此类实现会随着界面变化而失效,并且无法组织聊天信息的发送。
技术实现思路
本专利技术为了克服以上技术的不足,提供了一种可以获取TIM聊天工具具体消息发送及接收导出函数,对聊天信息进行分析阻断的审计TIM聊天内容的方法。本专利技术克服其技术问题所采用的技术方案是:一种审计TIM聊天内容的方法,包括如下步骤:a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄;c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存;d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作;e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词,如发送的消息和文件中含有涉密关键词则执行步骤f),如发送的消息和文件中不含有涉密关键词则执行步骤g);f)Windows消息钩子函数对发送消息或文件进行阻断,向TIM程序返回发送失败信息;g)Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中,每间隔N分钟将sqlite数据库中数据提交到审计服务器,提交成功后将本地缓存清除。进一步的,步骤d)中包括TIM程序中个人或群或讨论组或文件的消息发送和接收的导出函数。进一步的,步骤e)中TIM应用程序发送消息包括TIM程序中个人或群或讨论组中发送的信息。进一步的,步骤g)中sqlite数据库中字段包含消息发送者信息、消息接收者信息、聊天信息信息、文件路径信息。进一步的,步骤g)中N等于10。本专利技术的有益效果是:通过挂钩的方式把DLL动态库加载到TIM聊天工具中,通过TIM聊天工具自身的动态库导出获取到具体的消息发送及接收导出函数,通过挂钩的方式可以做到不影响正常使用且无感知,当发送聊天信息时可以对聊天内容进行监控并分析,匹配到关键信息可以及时进行阻断发送,并且可以对整个聊天及文件发送进行审计,通过及时阻断可以防止泄密,通过审计可以回溯整个聊天记录,提高聊天工具的使用安全性,防止出现通过聊天工具进行泄密的情况。具体实施方式下面对本专利技术做进一步说明。一种审计TIM聊天内容的方法,包括如下步骤:a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数。应用程序能够设置相应的子进程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们,钩子机制允许应用程序截获处理Window消息或特定事件,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,即钩子函数先得到控制权。这时钩子函数既可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄。c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存。使用钩子函数的地址替换消息发送/接收操作函数的地址,完成对个人/群/讨论组/文件等消息发送和接收的导出函数进行挂钩操作。d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作。e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词,如发送的消息和文件中含有涉密关键词则执行步骤f),如发送的消息和文件中不含有涉密关键词则执行步骤g)。f)Windows消息钩子函数对发送消息或文件进行阻断,向TIM程序返回发送失败信息。则当前用户的消息及文件无法正常发送,做到对保密信息的保护。g)Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中,每间隔N分钟将sqlite数据库中数据提交到审计服务器,提交成功后将本地缓存清除,减少本地磁盘的占用空间。通过获取TIM聊天工具具体的消息发送及接收导出函数,并且对聊天信息进行分析阻断,提高了TIM软件对聊天信息的审计,防止泄密情况的发生。步骤d)中包括TIM程序中个人或群或讨论组或文件的消息发送和接收的导出函数。步骤e)中TIM应用程序发送消息包括TIM程序中个人或群或讨论组中发送的信息。步骤g)中sqlite数据库中字段包含消息发送者信息、消息接收者信息、聊天信息信息、文件路径信息。步骤g)中N等于10。本文档来自技高网...
【技术保护点】
1.一种审计TIM聊天内容的方法,其特征在于,包括如下步骤:a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄;c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存;d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作;e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词,如发送的消息和文件中含有涉密关键词则执行步骤f),如发送的消息和文件中不含有涉密关键词则执行步骤g);f) Windows消息钩子函数对发送消息或文件进行阻断,向TIM程序返回发送失败信息;g) Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中,每间隔N分钟将sqlite数据库中数据提交到审计服务器,提交成功后将本地缓存清除。...
【技术特征摘要】
1.一种审计TIM聊天内容的方法,其特征在于,包括如下步骤:a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄;c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存;d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作;e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配...
【专利技术属性】
技术研发人员:宋瑞,吴永,
申请(专利权)人:山东华软金盾软件股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。