【技术实现步骤摘要】
一种进程管控方法和装置
[0001]本专利技术涉及数据安全
,尤其涉及一种进程管控方法和装置
。
技术介绍
[0002]在数据安全领域,企业为了保证企业数据的安全性,在得到授权的情况下,会监管办公系统
。
而为了保证监管的全面性和可靠性,需要将操作系统层面的一些进程也纳入监管范围
。
但是,目前操作系统的一些隐藏函数并不会提供对外的接口,导致进程某些关键信息无法获取,这就使得对进程的监控不太方便,导致企业系统安全性仍然存在比较大的隐患
。
技术实现思路
[0003]有鉴于此,本专利技术实施例提供一种进程管控方法和装置,能够获取到系统内核进程的隐藏函数地址,并调用系统内核进程的隐藏函数,从而对存在风险的目标进程进行管控,以有效地提高企业系统的安全性
。
[0004]为实现上述目的,第一方面,本专利技术实施例提供了一种进程管控方法,针对
macOS
系统,包括:
[0005]搜索预先选择出的基准函数的真实地址,其中,所述基准函数为所述
macOS
系统定义的多个标准函数中的任意一个标准函数,所述标准函数对应有公开的进程名称;
[0006]基于所述基准函数的真实地址,获取所述进程空间的文件头结构,并从所述文件头结构中解析出内核符号表;
[0007]基于所述基准函数的真实地址和所述内核符号表,解析出所述
macOS
系统内核进程的隐藏函数的信息;
[0008]根 ...
【技术保护点】
【技术特征摘要】
1.
一种进程管控方法,其特征在于,针对
macOS
系统,包括:搜索预先选择出的基准函数的真实地址,其中,所述基准函数为所述
macOS
系统定义的多个标准函数中的任意一个标准函数,所述标准函数对应有公开的进程名称;基于所述基准函数的真实地址,获取所述进程空间的文件头结构,并从所述文件头结构中解析出内核符号表;基于所述基准函数的真实地址和所述内核符号表,解析出所述
macOS
系统内核进程的隐藏函数的信息;根据预设的监管策略和解析出的所述隐藏函数的信息,对所述
macOS
系统的运行进程进行监管
。2.
根据权利要求1所述的进程管控方法,其特征在于,所述基于所述基准函数的真实地址,获取所述进程空间的文件头结构,包括:基于所述基准函数的真实地址,查找所述基准函数所在进程空间内的基地址;通过所述基地址,获取所述进程空间的文件头结构
。3.
根据权利要求2所述的进程管控方法,其特征在于,所述查找所述基准函数所在进程空间内的基地址,包括:定位进程空间所对应的进程动态文件;在定位到的所述进程动态文件中,从所述基准函数的真实地址开始向前逐字节查找预设的特定标记字符串;确定所述进程动态文件中所述特定标记字符串对应的真实地址,为所述基准函数所在进程空间内的基地址
。4.
根据权利要求1所述的进程管控方法,其特征在于,所述从所述文件头结构中解析出内核符号表,包括:从所述文件头结构中获取所述内核符号表的偏移地址;基于所述基准函数的真实地址和所述内核符号表的偏移地址,筛选出所述内核符号表;对所述内核符号表进行解析
。5.
根据权利要求4所述的进程管控方法,其特征在于,所述基于所述基准函数的真实地址和所述内核符号表的偏移地址,筛选出所述内核符号表,包括:基于所述基准函数的真实地址查找到的进程空间的基地址和所述内核符号表的偏移地址,计算所述内核符号表的真实地址;根据所述内核符号表的真实地址筛选出所述内核符号表
。6.
根据权利要求2或3所述的进程管控方法,其特征在于,...
【专利技术属性】
技术研发人员:杨胜超,李仕毅,
申请(专利权)人:成都天空卫士网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。