This application provides a method and apparatus for monitoring process, which includes: the processing unit determines the first mapping relationship and the second mapping relationship, the first mapping relationship indicates that the access rule of the first physical address is prohibited access, the second mapping relationship indicates that the access rule of the first physical address is permitted access, and the processing unit determines the target mapping relationship as the first mapping relationship. The processing unit sends the first access request to the memory control unit; the processing unit receives the first abnormal information sent by the memory control unit, which is sent when the memory control unit determines that the access rule of the first physical address under the target mapping relationship is prohibited from accessing; the processing unit monitors the process according to the first abnormal information and monitors the object. The label mapping relationship is switched; the processing unit sends the first access request to the memory control unit again, so that the process monitoring can be easily realized.
【技术实现步骤摘要】
监控进程的方法和装置
本申请涉及计算机领域,并且,更具体地,涉及监控进程的方法和装置。
技术介绍
随着计算机技术的发展,计算机的安全性成为人们关注的焦点,其中,对进程调用外部函数的行为进行监控是提高计算机安全性的可行的手段。目前,已知一种技术通过以下原理实现监控进程调用外部函数的行为:向样本程序中写入监控程序代码,所述样本程序运行后生成需要被监控的进程,然后在外部函数中添加调用控制点代码。在外部函数被调用时跳转到监控程序代码中,从而监控并记录所述被监控进程的行为。但是,该技术需要预先对样本程序和外部函数进行修改(即,添加用于触发监控的代码),增加了监控的成本,并且,可能影响进程和外部函数的正常运行。因此,希望提供一种技术,能够在不对样本程序和外部函数的代码进行修改的情况下,实现对进程调用外部函数的行为进行监控。
技术实现思路
本申请提供一种监控进程的方法和装置,能够在无需修改样本程序或外部函数的代码的情况下,实现对进程的监控。第一方面,提供了一种监控进程的方法,该方法由计算设备执行,该计算设备包括处理单元、内存和内存控制单元,该方法包括:该处理单元确定第一映射关系和第...
【技术保护点】
1.一种监控进程的方法,其特征在于,所述方法由计算设备执行,所述计算设备包括处理单元、内存和内存控制单元,所述方法包括:所述处理单元确定第一映射关系和第二映射关系,所述第一映射关系和所述第二映射关系均指示第一虚拟地址与第一物理地址之间的映射关系以及所述第一物理地址的访问规则,且所述第一映射关系指示所述第一物理地址的访问规则为禁止访问,所述第二映射关系指示所述第一物理地址的访问规则为允许访问,其中,所述第一物理地址是所述内存中第一内存空间的物理地址,所述第一内存空间是所述内存中除第二内存空间以外的内存空间,所述第二内存空间是用于保存生成所述第一进程的程序代码的内存空间;在第一...
【技术特征摘要】
1.一种监控进程的方法,其特征在于,所述方法由计算设备执行,所述计算设备包括处理单元、内存和内存控制单元,所述方法包括:所述处理单元确定第一映射关系和第二映射关系,所述第一映射关系和所述第二映射关系均指示第一虚拟地址与第一物理地址之间的映射关系以及所述第一物理地址的访问规则,且所述第一映射关系指示所述第一物理地址的访问规则为禁止访问,所述第二映射关系指示所述第一物理地址的访问规则为允许访问,其中,所述第一物理地址是所述内存中第一内存空间的物理地址,所述第一内存空间是所述内存中除第二内存空间以外的内存空间,所述第二内存空间是用于保存生成所述第一进程的程序代码的内存空间;在第一进程开始运行时,所述处理单元确定目标映射关系为所述第一映射关系,其中,所述目标映射关系是所述内存控制单元控制针对所述内存的访问时使用的映射关系;在所述第一进程需要访问所述第一内存空间时,所述处理单元向所述内存控制单元发送第一访问请求,所述第一访问请求携带有所述第一虚拟地址;所述处理单元接收所述内存控制单元发送的第一异常信息,所述第一异常信息是所述内存控制单元在确定所述第一物理地址在目标映射关系下的访问规则为禁止访问时发送的;所述处理单元根据所述第一异常信息,对所述第一进程进行第一监控处理,并对所述目标映射关系进行第一切换处理,所述第一切换处理用于将所述目标映射关系从所述第一映射关系切换为所述第二映射关系;所述处理单元向所述内存控制单元重新发送所述第一访问请求。2.根据权利要求1所述的方法,其特征在于,所述第一映射关系和所述第二映射关系还指示第二虚拟地址与第二物理地址之间的映射关系以及所述第二物理地址的访问规则,且所述第一映射关系指示所述第二物理地址的访问规则为允许访问,且所述第二映射关系指示所述第二物理地址的访问规则为禁止访问,其中,所述第二物理地址是所述第二内存空间的物理地址,以及在对所述目标映射关系进行所述第一切换处理之后,所述方法还包括:在所述第一内存空间存储的代码指示需要访问所述第二内存空间时,所述处理单元向所述内存控制单元发送第二访问请求,所述第二访问请求携带有所述第二虚拟地址;所述处理单元接收所述内存控制单元发送的第二异常信息,所述第二异常信息是所述内存控制单元在确定所述第二物理地址在目标映射关系下的访问规则为禁止访问时发送的;所述处理单元根据所述第二异常信息,对所述第一进程进行第二监控处理,并对所述目标映射关系进行第二切换处理,所述第二切换处理用于将所述目标映射关系从所述第二映射关系切换为所述第一映射关系;所述处理单元向所述内存控制单元重新发送所述第二访问请求。3.根据权利要求2所述的方法,其特征在于,所述处理单元确定针对第一映射关系和第二映射关系,包括:在所述第一进程创建时,所述处理单元确定第二进程,所述第二进程是所述第一进程的父进程;在所述第二进程需要被监控的情况下,所述处理单元确定所述第二物理地址在所述第一映射关系和所述第二映射关系中的访问规则。4.根据权利要求1至3中任一项所述的方法,所述方法还包括:在所述第一进程结束时,所述处理单元删除所述第一映射关系和所述第二映射关系。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一内存空间用于保存外部函数的代码,所述外部函数包括除进程函数之外的函数,所述进程函数是生成所述第一进程的程序代码所包含的函数。6.根据权利要求5所述的方法,其特征在于,所述外部函数的代码包括:进程共享代码和系统内核代码中的至少一方。7.一种监控进程的方法,其特征在于,所述方法由计算设备执行,所述计算设备包括处理单元、内存和内存控制单元,所述方法包括:所述内存控制单元接收处理单元发送的...
【专利技术属性】
技术研发人员:袁劲枫,黄生强,甘永存,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。