一种进程管控方法和装置制造方法及图纸

本发明专利技术公开了一种进程管控方法和装置，涉及数据安全技术领域

【技术实现步骤摘要】
一种进程管控方法和装置


[0001]本专利技术涉及数据安全
，尤其涉及一种进程管控方法和装置
。

技术介绍

[0002]在数据安全领域，企业为了保证企业数据的安全性，在得到授权的情况下，会监管办公系统
。
而为了保证监管的全面性和可靠性，需要将操作系统层面的一些进程也纳入监管范围
。
但是，目前操作系统的一些隐藏函数并不会提供对外的接口，导致进程某些关键信息无法获取，这就使得对进程的监控不太方便，导致企业系统安全性仍然存在比较大的隐患
。

技术实现思路

[0003]有鉴于此，本专利技术实施例提供一种进程管控方法和装置，能够获取到系统内核进程的隐藏函数地址，并调用系统内核进程的隐藏函数，从而对存在风险的目标进程进行管控，以有效地提高企业系统的安全性
。
[0004]为实现上述目的，第一方面，本专利技术实施例提供了一种进程管控方法，针对
macOS
系统，包括：
[0005]搜索预先选择出的基准函数的真实地址，其中，所述基准函数为所述
macOS
系统定义的多个标准函数中的任意一个标准函数，所述标准函数对应有公开的进程名称；
[0006]基于所述基准函数的真实地址，获取所述进程空间的文件头结构，并从所述文件头结构中解析出内核符号表；
[0007]基于所述基准函数的真实地址和所述内核符号表，解析出所述
macOS
系统内核进程的隐藏函数的信息；
[0008]根据预设的监管策略和解析出的所述隐藏函数的信息，对所述
macOS
系统的运行进程进行监管
。
[0009]可选地，所述基于所述基准函数的真实地址，获取所述进程空间的文件头结构，包括：
[0010]基于所述基准函数的真实地址，查找所述基准函数所在进程空间内的基地址；
[0011]通过所述基地址，获取所述进程空间的文件头结构
。
[0012]可选地，所述查找所述基准函数所在进程空间内的基地址，包括：
[0013]定位进程空间所对应的进程动态文件；
[0014]在定位到的所述进程动态文件中，从所述基准函数的真实地址开始向前逐字节查找预设的特定标记字符串；
[0015]确定所述进程动态文件中所述特定标记字符串对应的真实地址，为所述基准函数所在进程空间内的基地址
。
[0016]可选地，所述从所述文件头结构中解析出内核符号表，包括：
[0017]从所述文件头结构中获取所述内核符号表的偏移地址；
[0018]基于所述基准函数的真实地址和所述内核符号表的偏移地址，筛选出所述内核符号表；
[0019]对所述内核符号表进行解析
。
[0020]可选地，基于所述基准函数的真实地址查找到的进程空间的基地址和所述内核符号表的偏移地址，计算所述内核符号表的真实地址，根据所述内核符号表的真实地址筛选出所述内核符号表
。
[0021]可选地，所述基于所述基准函数的真实地址和所述内核符号表，解析出隐藏函数的进程信息，包括：
[0022]从所述内核符号表中解析出隐藏函数的偏移地址；
[0023]根据所述基准函数所在进程空间内的基地址和所述隐藏函数的偏移地址，计算所述隐藏函数的真实地址
。
[0024]可选地，所述进程管控方法，还包括：从所述文件头结构中解析出字符串表的偏移地址；
[0025]所述基于所述基准函数的真实地址和所述内核符号表，解析出所述
macOS
系统内核进程的隐藏函数的信息，还包括：
[0026]从所述内核符号表中解析出隐藏函数的函数名称字符串位置；
[0027]根据所述隐藏函数的函数名称字符串位置
、
所述字符串表的偏移地址及所述基地址，搜索出所述字符串表中包含的所述隐藏函数的函数名称
。
[0028]第二方面，本专利技术实施例提供一种进程管控装置，针对
macOS
系统，包括：搜索模块
、
解析模块及管控模块，其中，
[0029]所述搜索模块，用于搜索预先选择出的基准函数的真实地址，其中，所述基准函数为所述
macOS
系统定义的多个标准函数中的任意一个标准函数，所述标准函数对应有公开的进程名称；
[0030]所述解析模块，用于基于所述基准函数的真实地址，获取所述进程空间的文件头结构，并从所述文件头结构中解析出内核符号表；基于所述基准函数的真实地址和所述内核符号表，解析出所述
macOS
系统内核进程的隐藏函数的信息；
[0031]所述管控模块，用于根据预设的监管策略和解析出的所述隐藏函数的信息，对所述
macOS
系统的运行进程进行监管
。
[0032]上述专利技术中的一个实施例具有如下优点或有益效果：通过搜索预先选择出的对应有公开的进程名称的基准函数的真实地址，并基于基准函数的真实地址，获取进程空间的文件头结构，并从文件头结构中解析出内核符号表，基于内核符号表和基准函数的真实地址，从内核符号表中解析出
macOS
系统内核进程的隐藏函数的信息，根据解析出的隐藏函数的信息，对
macOS
系统的运行进程进行监管，即在解析出
macOS
系统内核进程的隐藏函数的信息后，通过调用隐藏函数，获得想要监控的目标应用的关键信息，实现对运行于
macOS
系统的目标应用的进行监管，以有效地提高企业系统的安全性
。
[0033]上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明
。
附图说明
[0034]附图用于更好地理解本专利技术，不构成对本专利技术的不当限定
。
其中：
[0035]图1是本专利技术实施例可以应用于其中的示例性系统架构图；
[0036]图2是根据本专利技术实施例提供的一种进程管控方法的主要流程的示意图；
[0037]图3是根据本专利技术实施例提供的查找基准函数所在进程空间内的基地址的主要流程示意图；
[0038]图4是根据本专利技术另一实施例提供的一种进程管控方法的主要流程的示意图；
[0039]图5是根据本专利技术实施例的进程管控装置的主要模块的示意图；
[0040]图6是根据本专利技术实施例的进程管控系统的主要设备的示意图；
[0041]图7是适于用来实现本专利技术实施例的终端设备的计算机系统的结构示意图
。
具体实施方式
[0042]以下结合附图对本专利技术的示范性实施例做出说明，其中包括本专利技术实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的
。
因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本专利技术的范围和精神
。
同本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种进程管控方法，其特征在于，针对
macOS
系统，包括：搜索预先选择出的基准函数的真实地址，其中，所述基准函数为所述
macOS
系统定义的多个标准函数中的任意一个标准函数，所述标准函数对应有公开的进程名称；基于所述基准函数的真实地址，获取所述进程空间的文件头结构，并从所述文件头结构中解析出内核符号表；基于所述基准函数的真实地址和所述内核符号表，解析出所述
macOS
系统内核进程的隐藏函数的信息；根据预设的监管策略和解析出的所述隐藏函数的信息，对所述
macOS
系统的运行进程进行监管
。2.
根据权利要求1所述的进程管控方法，其特征在于，所述基于所述基准函数的真实地址，获取所述进程空间的文件头结构，包括：基于所述基准函数的真实地址，查找所述基准函数所在进程空间内的基地址；通过所述基地址，获取所述进程空间的文件头结构
。3.
根据权利要求2所述的进程管控方法，其特征在于，所述查找所述基准函数所在进程空间内的基地址，包括：定位进程空间所对应的进程动态文件；在定位到的所述进程动态文件中，从所述基准函数的真实地址开始向前逐字节查找预设的特定标记字符串；确定所述进程动态文件中所述特定标记字符串对应的真实地址，为所述基准函数所在进程空间内的基地址
。4.
根据权利要求1所述的进程管控方法，其特征在于，所述从所述文件头结构中解析出内核符号表，包括：从所述文件头结构中获取所述内核符号表的偏移地址；基于所述基准函数的真实地址和所述内核符号表的偏移地址，筛选出所述内核符号表；对所述内核符号表进行解析
。5.
根据权利要求4所述的进程管控方法，其特征在于，所述基于所述基准函数的真实地址和所述内核符号表的偏移地址，筛选出所述内核符号表，包括：基于所述基准函数的真实地址查找到的进程空间的基地址和所述内核符号表的偏移地址，计算所述内核符号表的真实地址；根据所述内核符号表的真实地址筛选出所述内核符号表
。6.
根据权利要求2或3所述的进程管控方法，其特征在于，...

【专利技术属性】
技术研发人员：杨胜超，李仕毅，
申请(专利权)人：成都天空卫士网络安全技术有限公司，
类型：发明
国别省市：