【技术实现步骤摘要】
本申请涉及网络安全,具体地涉及一种用于解析wmi客户端进程的方法、装置、处理器及存储介质。
技术介绍
1、wmi(windows management instrumentation)是微软windows操作系统中的一种管理和监控框架,基于提供者/消费者模型,实现计算机系统的各种硬件和软件组件的管理功能。wmi允许管理员通过编程方式或命令行工具来查询和控制计算机上的各种系统资源和服务。
2、wmi是windows系统管理的重要工具,它为管理员和开发人员提供了一种强大的方式来管理和监控windows计算机上的各种资源和服务。它广泛用于自动化系统管理、监控性能和收集系统信息的任务中。对于一个wmi命名空间下的管理对象类,wmi支持结构化查询(wql)、类实例对象枚举、类方法调用和注册事件通知。然而,由于wmi采用dcom作为基础的通讯机制,这将导致上述的查询、枚举、方法执行等动作在提供者执行时,已经难以追溯是哪个消费者(客户端)发起的调用了。也就是说,现有wmi框架存在的wmi请求在从消费者到wmi框架再到wmi提供者等进程之间传递时,主体进程(即消费者、也即客户端进程)信息丢失的问题。这种“断链”导致的信息丢失,可被恶意软件利用,来规避安全软件的行为检测和攻击回溯。例如,恶意代码通过各种方式执行wmi查询采集系统信息,规避安全检测。再如,恶意代码通过各种方式执行wmi方法,绕过安全系统破坏计算机操作系统。
技术实现思路
1、为了解决上述技术问题,本申请实施例的目的是提供一
2、为了实现上述目的,本申请实施例第一方面提供一种用于解析wmi客户端进程的方法,该方法包括:
3、在wmi框架服务进程启动时,加载上下文封送模块;
4、在wmi请求调度到线程池之前,通过上下文封送模块提取客户端上下文,并将客户端上下文添加至wmi请求的wmi上下文参数中;
5、在wmi提供者进程启动时,加载上下文解封模块;
6、通过上下文解封模块提取wmi上下文参数中的客户端上下文,并将客户端上下文设置到当前线程上下文中。
7、在本申请实施例中,通过上下文封送模块提取客户端上下文,并将客户端上下文添加至wmi请求的wmi上下文参数中,包括:在wmi框架服务进程加载wmi的核心动态库时,定位wmi命名空间类的iwbemservices接口的虚函数表;挂钩虚函数表中包含wmi上下文参数的接口方法;通过调用接口方法获取客户端上下文,并将客户端上下文设置到wmi上下文参数中。
8、在本申请实施例中,通过调用接口方法获取客户端上下文,并将客户端上下文设置到wmi上下文参数中,包括:通过wmi请求对应的rpc请求提取客户端上下文;将客户端上下文设置于wmi请求的wmi上下文参数中。
9、在本申请实施例中,通过wmi请求对应的rpc请求提取客户端上下文包括:在rpc请求经过rpc传输层时,根据rpc请求的rpc消息数据解析传输层的协议类型;根据协议类型解析出rpc请求的客户端上下文。
10、在本申请实施例中,根据协议类型解析出rpc请求的客户端上下文包括:在协议类型为本地调用协议的情况下,从rpc消息数据中提取客户端的进程标识和线程标识,以合并构成客户端上下文;在协议类型为命名管道协议的情况下,提取出rpc调用的特征数据,根据特征数据查询rpc溯源模块,以获取客户端上下文;在协议类型为其它网络协议的情况下,从rpc消息数据中提取出远程主机的信息,以构成客户端上下文。
11、在本申请实施例中,将客户端上下文设置于wmi请求的wmi上下文中包括:判断接口方法是否提供了上下文接口指针;在接口方法提供了上下文接口指针的情况下,调用上下文接口的设置值方法,将客户端上下文设置成命名的值。
12、在本申请实施例中,该方法还包括:在接口方法未提供上下文接口指针的情况下,创建一个上下文实例对象,获取新建的上下文实例的接口指针;调用上下文实例接口的设置值方法,将客户端上下文设置成命名的值。
13、在本申请实施例中,通过上下文解封模块提取wmi上下文参数中的客户端上下文,并将客户端上下文设置到当前线程上下文中,包括:在提供者进程启动时,定位拦截请求的iwbemservices接口的虚函数表;挂钩虚函数表中包含wmi上下文参数的接口方法;通过调用接口方法提取出wmi上下文中的客户端上下文,并将客户端上下文设置到当前线程上下文中。
14、本申请第二方面提供一种处理器,被配置成执行上述的用于解析wmi客户端进程的方法。
15、本申请第三方面提供一种用于解析wmi客户端进程的装置,该装置包括:上下文封送模块加载单元,用于在wmi框架服务进程启动时,加载上下文封送模块;上下文封送模块运行单元,在wmi请求调度到线程池之前,通过上下文封送模块提取客户端上下文,并将客户端上下文添加至wmi请求的wmi上下文参数中;上下文解封模块加载单元,在wmi提供者进程启动时,加载上下文解封模块;上下文解封模块运行单元,通过上下文解封模块提取wmi上下文参数中的客户端上下文,并将客户端上下文设置到当前线程上下文中。
16、本申请第四方面提供一种机器可读存储介质,机器可读存储介质上存储程序或指令,程序或指令被处理器执行时实现上述的用于解析wmi客户端进程的方法。
17、上述技术方案,通过在wmi框架服务进程启动时,加载上下文封送模块,在wmi请求调度到线程池之前,通过上下文封送模块提取客户端上下文,并将客户端上下文添加至wmi请求的wmi上下文参数中,在wmi提供者进程启动时,加载上下文解封模块,通过上下文解封模块提取wmi上下文参数中的客户端上下文,并将客户端上下文设置到当前线程上下文中。本申请能够将经wmi请求触发的资源访问的主体确定为发起wmi请求的客户端,使得访问控制和审计更加精确,有利于防止发生恶意代码绕过安全检测和溯源中断的情形。
18、本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
本文档来自技高网...【技术保护点】
1.一种用于解析WMI客户端进程的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,通过所述上下文封送模块提取客户端上下文,并将所述客户端上下文添加至所述WMI请求的WMI上下文参数中,包括:
3.根据权利要求2所述的方法,其特征在于,所述通过调用所述接口方法获取所述客户端上下文,并将所述客户端上下文设置到所述WMI上下文参数中,包括:
4.根据权利要求3所述的方法,其特征在于,所述通过所述WMI请求对应的RPC请求提取所述客户端上下文包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述协议类型解析出所述RPC请求的客户端上下文包括:
6.根据权利要求3所述的方法,其特征在于,所述将所述客户端上下文设置于所述WMI请求的WMI上下文中包括:
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
8.根据权利要求1所述的方法,其特征在于,所述通过所述上下文解封模块提取所述WMI上下文参数中的客户端上下文,并将所述客户端上下文设置到当前线程上下文中,包括:p>
9.一种处理器,其特征在于,被配置成执行根据权利要求1至8中任意一项所述的用于解析WMI客户端进程的方法。
10.一种用于解析WMI客户端进程的装置,其特征在于,所述装置包括:
11.一种机器可读存储介质,所述机器可读存储介质上存储程序或指令,其特征在于,所述程序或所述指令被处理器执行时实现根据权利要求1至8中任意一项所述的用于解析WMI客户端进程的方法。
...【技术特征摘要】
1.一种用于解析wmi客户端进程的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,通过所述上下文封送模块提取客户端上下文,并将所述客户端上下文添加至所述wmi请求的wmi上下文参数中,包括:
3.根据权利要求2所述的方法,其特征在于,所述通过调用所述接口方法获取所述客户端上下文,并将所述客户端上下文设置到所述wmi上下文参数中,包括:
4.根据权利要求3所述的方法,其特征在于,所述通过所述wmi请求对应的rpc请求提取所述客户端上下文包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述协议类型解析出所述rpc请求的客户端上下文包括:
6.根据权利要求3所述的方法,其特征在于,所述将所述客户...
【专利技术属性】
技术研发人员:周国华,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。