CN108255542B - 一种虚拟机的串口并口管控方法与装置 - Google Patents
一种虚拟机的串口并口管控方法与装置 Download PDFInfo
- Publication number
- CN108255542B CN108255542B CN201810011874.5A CN201810011874A CN108255542B CN 108255542 B CN108255542 B CN 108255542B CN 201810011874 A CN201810011874 A CN 201810011874A CN 108255542 B CN108255542 B CN 108255542B
- Authority
- CN
- China
- Prior art keywords
- serial port
- parallel port
- port
- function
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45579—I/O management, e.g. providing access to device drivers or storage
Abstract
本发明公开了一种虚拟机的串口并口管控方法与装置,包括:构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中;当进程调用串口并口时加载动态库;动态库根据进程的调用函数与设定策略来管控串口并口。本发明提出的虚拟机的串口并口管控方法与装置能够允许管控重定向设备、可卸载被占用串口、避免日志误报、可管控数据内容、并且不依赖设备驱动。
Description
技术领域
本发明涉及计算机领域,更具体地,特别是指一种虚拟机的串口并口管控方法与装置。
背景技术
虚拟机主要通过网络、本地磁盘映射、设备映射等方式进行数据的输入输出。在设备映射方式中,大部分数据是通过USB接口或具有存储功能的设备(如U盘、光盘、软盘、手机等)进行的,但也有少量数据是通过串口并口设备进行交换;特别是串口并口重定向方式,在带给串口并口软件在虚拟化环境中使用便捷的同时,对安全也带来了一些新的挑战。
在虚拟化环境中,串口并口的使用有两种方式:设备映射和重定向。设备映射是把串口并口设备映射到对应的虚拟机中,在虚拟机中访问设备;重定向是将串口并口数据传输到登录机上,由登录机访问登录机上的串口并口设备,这种方式对串口并口的使用兼容性更好。
传统的串口并口的管控方法有两种:
方法一,轮询设备并接收设备插入的消息。在管控程序启动时,轮询已经插入的串口并口设备,依据策略做出管控;当新的串口并口设备插入时,管控程序获得消息,依据策略做出管控。但本方法在虚拟化环境下,不能管控串口并口的重定向使用方式;在管控策略发生变化时(例如变为禁止使用串口并口),如果此时设备正在被使用,就会出现卸载设备不成功,设备能继续使用的情况,需要强行退出登录桌面或重启虚拟机,对用户来说十分不友好;如果登录机上有串口并口设备,可能会出现非主观映射的情况,出现登录一次,映射一次,就记录一条日志的情况,造成日志太多和不准确,不能区分主观和客观使用串口并口设备;不能过滤串口并口发送的数据,实现对数据内容的管控。
方法二,使用驱动法,在驱动中绑定串口并口设备、监听其通信。但本方法也不能管控串口并口的重定向使用方式;不同虚拟化厂商对串口并口的实现方式和命名存在差异,本方法中的驱动要做到与虚拟化厂商的驱动和串口并口设备自带的驱动(很多串口并口设备都自己带有驱动)同时兼容,比较困难,并且扩展性差。
针对现有技术中不能重定向、串口被占用时无法卸载、日志误报、无法管控数据内容、依赖设备驱动等问题,目前尚未有有效的解决方案。
发明内容
有鉴于此,本发明实施例的目的在于提出一种虚拟机的串口并口管控方法与装置,能够针对不同的虚拟机或不同类型的虚拟机进行串口并口管控,允许管控重定向设备、可卸载被占用串口、避免日志误报、可管控数据内容、并且不依赖设备驱动。
基于上述目的,本发明实施例的一方面提供了一种虚拟机的串口并口管控方法,包括以下步骤:
构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中;
当进程调用串口并口时加载动态库;
动态库根据进程的调用函数与设定策略来管控串口并口。
在一些实施方式中,动态库通过HOOK技术注入虚拟机中,动态库拦截进程的调用函数是进程中与串口并口的操作和访问数据有关的API函数,每个调用函数为以下之一:CreateFile HOOK函数、WriteFile HOOK函数、ReadFile HOOK函数。
在一些实施方式中,动态库不拦截系统进程与可信进程。
在一些实施方式中,当调用函数为CreateFile HOOK函数时,动态库根据进程的调用函数与设定策略来管控串口并口包括:
确定访问串口并口的行为,并根据设定策略判断是否允许;
如果设定策略允许,则记载串口并口本次访问行为的访问特征、串口并口名、和访问句柄并保存到特征链表中;
如果设定策略禁止,则返回调用函数失败。
在一些实施方式中,当调用函数为WriteFile HOOK函数或ReadFile HOOK函数时,动态库根据进程的调用函数与设定策略来管控串口并口包括:
如果设定策略不存在、或如果设定策略存在并且特征链表中不存在调用函数的输入文件句柄,则返回调用函数正常调用;
如果设定策略存在、并且特征链表中存在调用函数的输入文件句柄,则根据设定策略进一步判断:
当设定策略为禁止使用串口并口时,关闭本次文件输入句柄并返回使用无效句柄替代原句柄的调用函数调用;
当设定策略为过滤传输数据时,将匹配过滤内容策略,并依据内容策略结果而返回调用函数正常调用、或关闭本次文件输入句柄返回使用无效句柄替代原句柄的调用函数调用。
在一些实施方式中,当进程结束时释放特征链表。
本发明实施例的另一方面,还提供了一种虚拟机的串口并口管控装置,使用了上述方法。
本发明实施例的另一方面,还提供了一种计算机设备,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时执行上述的方法。
本发明实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行上述的方法。
本发明实施例的另一方面,还提供了一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算程序,所述计算程序包括指令,当所述指令被计算机执行时,使所述计算机执行上述方法。
本发明具有以下有益技术效果:本发明实施例提供的虚拟机的串口并口管控方法与装置,通过构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中,当进程调用串口并口时加载动态库,动态库根据进程的调用函数与设定策略来管控串口并口的技术方案,能够针对不同的虚拟机或不同类型的虚拟机进行串口并口管控,允许管控重定向设备、可卸载被占用串口、避免日志误报、可管控数据内容、并且不依赖设备驱动。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的虚拟机的串口并口管控方法的第一个实施例的流程示意图;
图2为本发明提供的执行所述虚拟机的串口并口管控方法的计算机设备的一个实施例的硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种能够针对不同虚拟机或不同类型的虚拟机进行串口并口管控的方法的第一个实施例。图1示出的是本发明提供的虚拟机的串口并口管控方法的第一个实施例的流程示意图。
所述虚拟机的串口并口管控方法,包括以下步骤:
步骤S101,构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中;
步骤S103,当进程调用串口并口时加载动态库;
步骤S105,动态库根据进程的调用函数与设定策略来管控串口并口。
在一些实施方式中,动态库通过HOOK技术注入虚拟机中,动态库拦截进程的调用函数是进程中与串口并口的操作和访问数据有关的API函数,每个调用函数为以下之一:CreateFile HOOK函数、WriteFile HOOK函数、ReadFile HOOK函数。
其中,可选地,HOOK是一种在事件——这里是指API函数——到达终点前截获或监控其传输的手段。本发明实施例采用网络通信的管控思想,即将虚拟机与串口并口所连接的设备当做网络中相连接的两台独立设备进行处理,跟踪串口并口数据流的方式并在应用程序内部拦截其通信数据,而不是直接去管控串口并口所连接的硬件设备本身,以此规避管控硬件设备容易出现的问题而达到更好的管控效果。
在一些实施方式中,动态库不拦截系统进程与可信进程。
其中,可选地,更多的扫描进程意味着更多的资源占用。系统进程与可信进程(如果有的话)的豁免可以提高检测效率。
在一些实施方式中,当调用函数为CreateFile HOOK函数时,动态库根据进程的调用函数与设定策略来管控串口并口包括:
确定访问串口并口的行为,并根据设定策略判断是否允许;
如果设定策略允许,则记载串口并口本次访问行为的访问特征、串口并口名、和访问句柄并保存到特征链表中;
如果设定策略禁止,则返回调用函数失败。
其中,可选地,设定策略判断允许时应当对访问行为进行记录;当特征链表中存在相同的串口并口名时,应当修改特征链表中已存在的句柄等信息,不需要重新创建。
在一些实施方式中,当调用函数为WriteFile HOOK函数或ReadFile HOOK函数时,动态库根据进程的调用函数与设定策略来管控串口并口包括:
如果设定策略不存在、或如果设定策略存在并且特征链表中不存在调用函数的输入文件句柄,则返回调用函数正常调用;
如果设定策略存在、并且特征链表中存在调用函数的输入文件句柄,则根据设定策略进一步判断:当设定策略为禁止使用串口并口时,关闭本次文件输入句柄并返回使用无效句柄替代原句柄的调用函数调用;当设定策略为过滤传输数据时,将匹配过滤内容策略,并依据内容策略结果而返回调用函数正常调用、或关闭本次文件输入句柄返回使用无效句柄替代原句柄的调用函数调用。
在一些实施方式中,当进程结束时释放特征链表。
其中,可选地,释放特征链表可以获得更多用于其他进程的空间。
从上述实施例可以看出,本发明实施例提供的虚拟机的串口并口管控方法,通过构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中,当进程调用串口并口时加载动态库,动态库根据进程的调用函数与设定策略来管控串口并口的技术方案,能够同时管控虚拟化环境下的设备映射和重定向两种串口并口设备使用;无论设备是否正在被使用都能及时禁止串口并口使用;避免了强行退出登录虚拟机桌面或重启虚拟机的情况;减少了由于系统加载设备等情况造成的日志误报;实现串口并口通信的数据过滤;不依赖虚拟化平台和串口并口硬件并且减少后期维护成本。
本发明实施例还提出了一种能够针对不同虚拟机或不同类型的虚拟机进行串口并口管控的方法的第二个实施例,具体实施步骤如下:
1、通过代理程序在虚拟机中安装HOOK动态库使得操作串口并口的进程在启动或进行串口并口操作时能加载此动态库。
2、系统进程或白名单信任进程加载此HOOK动态库时,动态库跳过此进程以实现高效管控。
3、在函数CreateFileA和CreateFileW(即前述CreateFile HOOK函数的两种形式)中提取串口并口特征(即函数输入的文件名参数等),若非串口并口特征,则返回函数正常调用。
4、若步骤3中是串口并口,则判断当前管控策略。若策略禁止,则返回调用失败;若策略允许,将串口并口特征和当前打开的文件句柄记入特征链表并返回函数正常调用。
5、在步骤4中记入特征链表之前先查找特征链表,若在链表中存在串口并口的特征文件名,则修改文件句柄等信息(本处为同一串口并口使用结束后再次被使用的情况),若不存在则创建结构体并插入特征链表。
6、在WriteFile HOOK函数中判断策略,若无控制策略则返回函数正常调用;若有禁止策略则匹配文件句柄与已记录的特征链表,若匹配上则关闭文件句柄并返回无效句柄替换的函数调用,若为过滤信息内容策略,则依据发送数据内容结果返回相应的函数调用。
7、在ReadFile HOOK函数中判断策略,具体过程同步骤6中描述。
8、在进程退出时自动释放特征链表。
从上述实施例可以看出,本发明实施例提供的虚拟机的串口并口管控方法,通过构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中,当进程调用串口并口时加载动态库,动态库根据进程的调用函数与设定策略来管控串口并口的技术方案,能够同时管控虚拟化环境下的设备映射和重定向两种串口并口设备使用;无论设备是否正在被使用都能及时禁止串口并口使用;避免了强行退出登录虚拟机桌面或重启虚拟机的情况;减少了由于系统加载设备等情况造成的日志误报;实现串口并口通信的数据过滤;不依赖虚拟化平台和串口并口硬件并且减少后期维护成本。
需要特别指出的是,上述虚拟机的串口并口管控方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于虚拟机的串口并口管控方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种能够针对不同虚拟机或不同类型的虚拟机进行串口并口管控的装置的第一个实施例。所述虚拟机的串口并口管控装置使用了上述的虚拟机的串口并口管控方法。
从上述实施例可以看出,本发明实施例提供的虚拟机的串口并口管控装置,通过构建能够拦截调用串口并口的进程的动态库,并将动态库注入虚拟机中,当进程调用串口并口时加载动态库,动态库根据进程的调用函数与设定策略来管控串口并口的技术方案,能够同时管控虚拟化环境下的设备映射和重定向两种串口并口设备使用;无论设备是否正在被使用都能及时禁止串口并口使用;避免了强行退出登录虚拟机桌面或重启虚拟机的情况;减少了由于系统加载设备等情况造成的日志误报;实现串口并口通信的数据过滤;不依赖虚拟化平台和串口并口硬件并且减少后期维护成本。
需要特别指出的是,上述虚拟机的串口并口管控装置的实施例采用了所述虚拟机的串口并口管控方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到所述虚拟机的串口并口管控方法的其他实施例中。当然,由于所述虚拟机的串口并口管控方法实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于所述虚拟机的串口并口管控装置也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第三个方面,提出了一种执行所述虚拟机的串口并口管控方法的计算机设备的一个实施例。
所述执行所述虚拟机的串口并口管控方法的计算机设备包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述任意一种方法。
如图2所示,为本发明提供的执行所述虚拟机的串口并口管控方法的计算机设备的一个实施例的硬件结构示意图。
以如图2所示的计算机设备为例,在该计算机设备中包括一个处理器201以及一个存储器202,并还可以包括:输入装置203和输出装置204。
处理器201、存储器202、输入装置203和输出装置204可以通过总线或者其他方式连接,图2中以通过总线连接为例。
存储器202作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的所述虚拟机的串口并口管控方法对应的程序指令/模块。处理器201通过运行存储在存储器202中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的虚拟机的串口并口管控方法。
存储器202可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据虚拟机的串口并口管控装置的使用所创建的数据等。此外,存储器202可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器202可选包括相对于处理器201远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置203可接收输入的数字或字符信息,以及产生与虚拟机的串口并口管控装置的用户设置以及功能控制有关的键信号输入。输出装置204可包括显示屏等显示设备。
所述一个或者多个虚拟机的串口并口管控方法对应的程序指令/模块存储在所述存储器202中,当被所述处理器201执行时,执行上述任意方法实施例中的虚拟机的串口并口管控方法。
所述执行所述虚拟机的串口并口管控方法的计算机设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
基于上述目的,本发明实施例的第四个方面,提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时执行上述任意方法实施例中的虚拟机的串口并口管控方法与实现上述任意装置/系统实施例中的虚拟机的串口并口管控装置/系统。所述计算机可读存储介质的实施例,可以达到与之对应的前述任意方法与装置/系统实施例相同或者相类似的效果。
基于上述目的,本发明实施例的第五个方面,提出了一种计算机程序产品,该计算机程序产品包括存储在计算机可读存储介质上的计算程序,该计算机程序包括指令,当该指令被计算机执行时,使该计算机执行上述任意方法实施例中的虚拟机的串口并口管控方法与实现上述任意装置/系统实施例中的虚拟机的串口并口管控装置/系统。所述计算机程序产品的实施例,可以达到与之对应的前述任意方法与装置/系统实施例相同或者相类似的效果。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,典型地,本发明实施例公开所述的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文所述的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”(“a”、“an”、“the”)旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (7)
1.一种虚拟机的串口并口管控方法,其特征在于,包括以下步骤:
构建能够拦截调用串口并口的进程的动态库,并将所述动态库注入虚拟机中;
当所述进程调用所述串口并口时加载所述动态库;
所述动态库根据所述进程的调用函数与设定策略来管控所述串口并口;
其中,所述动态库通过HOOK技术注入虚拟机中,所述动态库拦截所述进程的所述调用函数是所述进程中与所述串口并口的操作和访问数据有关的API函数,每个所述调用函数为以下之一:CreateFile HOOK函数、WriteFile HOOK函数、ReadFile HOOK函数;
当所述调用函数为WriteFile HOOK函数或ReadFile HOOK函数时,所述动态库根据所述进程的所述调用函数与所述设定策略来管控所述串口并口包括:
如果所述设定策略不存在或如果所述设定策略存在并且特征链表中不存在所述调用函数的输入文件句柄,则返回所述调用函数正常调用;
如果所述设定策略存在并且所述特征链表中存在所述调用函数的输入文件句柄,则根据所述设定策略进一步判断:
当所述设定策略为禁止使用所述串口并口时,关闭本次文件输入句柄并返回使用无效句柄替代原句柄的所述调用函数调用;
当所述设定策略为过滤传输数据时,将匹配过滤内容策略,并依据所述内容策略结果而返回所述调用函数正常调用、或关闭本次文件输入句柄返回使用无效句柄替代原句柄的所述调用函数调用。
2.根据权利要求1所述的方法,其特征在于,所述动态库不拦截系统进程与可信进程。
3.根据权利要求1所述的方法,其特征在于,当所述调用函数为CreateFile HOOK函数时,所述动态库根据所述进程的所述调用函数与所述设定策略来管控所述串口并口包括:
确定访问串口并口的行为,并根据所述设定策略判断是否允许;
如果所述设定策略允许,则记载所述串口并口本次访问行为的访问特征、串口并口名、和访问句柄并保存到特征链表中;
如果所述设定策略禁止,则返回所述调用函数失败。
4.根据权利要求1或3所述的方法,其特征在于,当所述进程结束时释放所述特征链表。
5.一种虚拟机的串口并口管控装置,其特征在于,使用如权利要求1-4任意一项所述的方法。
6.一种计算机设备,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-4任意一项所述的方法。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求1-4任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810011874.5A CN108255542B (zh) | 2018-01-05 | 2018-01-05 | 一种虚拟机的串口并口管控方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810011874.5A CN108255542B (zh) | 2018-01-05 | 2018-01-05 | 一种虚拟机的串口并口管控方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108255542A CN108255542A (zh) | 2018-07-06 |
CN108255542B true CN108255542B (zh) | 2021-08-10 |
Family
ID=62725831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810011874.5A Active CN108255542B (zh) | 2018-01-05 | 2018-01-05 | 一种虚拟机的串口并口管控方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108255542B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108920941A (zh) * | 2018-07-11 | 2018-11-30 | 北京奇安信科技有限公司 | 对移动设备上功能操作的管控方法及装置 |
CN109657491B (zh) * | 2018-11-29 | 2023-06-30 | 国云科技股份有限公司 | 一种数据库防火墙实现方法 |
CN111143265B (zh) * | 2019-12-30 | 2022-09-20 | 锐捷网络股份有限公司 | 一种基于虚拟机的数据传输方法及装置 |
CN111638944B (zh) * | 2020-06-01 | 2023-04-18 | 浙江大学 | 一种面向混核操作系统的串口虚拟化优化方法 |
CN112464228B (zh) * | 2020-09-09 | 2021-07-27 | 北京升鑫网络科技有限公司 | 一种应用层命令审计方法、装置、系统及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2357558A2 (en) * | 2010-01-27 | 2011-08-17 | VMWare, Inc. | Independent access to virtual machine desktop content |
WO2012035575A1 (en) * | 2010-09-14 | 2012-03-22 | Hitachi, Ltd. | Method and device for eliminating patch duplication |
CN103166971A (zh) * | 2013-03-15 | 2013-06-19 | 广东盈嘉科技工程发展股份有限公司 | 一种多路复用串口协议转换器 |
CN103618724A (zh) * | 2013-12-03 | 2014-03-05 | 中标软件有限公司 | 终端机与虚拟机之间的通信方法与通信系统 |
CN104699523A (zh) * | 2015-03-24 | 2015-06-10 | 北京深思数盾科技有限公司 | 用于硬件平台所开发的应用程序的调试方法和系统 |
CN105912953A (zh) * | 2016-05-11 | 2016-08-31 | 北京北信源软件股份有限公司 | 一种基于可信启动的虚拟机数据保护方法 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8719817B2 (en) * | 2010-03-25 | 2014-05-06 | Vmware, Inc. | Virtualization intermediary/virtual machine guest operating system collaborative SCSI path management |
US8418166B2 (en) * | 2011-01-11 | 2013-04-09 | International Business Machines Corporation | Transparent update of adapter firmware for self-virtualizing input/output device |
CN102546630A (zh) * | 2012-01-04 | 2012-07-04 | 北京七星华创电子股份有限公司 | Io通讯方法 |
US9311119B2 (en) * | 2012-05-30 | 2016-04-12 | Red Hat, Inc. | Reconfiguring virtual machines |
CN103036959B (zh) * | 2012-12-07 | 2015-12-02 | 武汉邮电科学研究院 | 基于io解耦的分布式部署应用程序的实现方法及系统 |
US10572665B2 (en) * | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9411621B2 (en) * | 2013-01-24 | 2016-08-09 | International Business Machines Corporation | Grouping and automatically propagating updates to equivalent online and offline virtual machines in a data center |
CN104598257B (zh) * | 2013-10-30 | 2019-01-18 | 华为技术有限公司 | 远程应用程序运行的方法和装置 |
CN105117645B (zh) * | 2015-07-29 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法 |
CN106708762B (zh) * | 2015-11-18 | 2019-12-13 | 厦门雅迅网络股份有限公司 | 一种linux下串口设备统一管理系统及方法 |
EP3182278A1 (en) * | 2015-12-17 | 2017-06-21 | Vsoft Spolka Akcyjna | System for automatic preparation of integrated development environments |
CN105740046B (zh) * | 2016-01-26 | 2019-01-29 | 华中科技大学 | 一种基于动态库的虚拟机进程行为监控方法与系统 |
-
2018
- 2018-01-05 CN CN201810011874.5A patent/CN108255542B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2357558A2 (en) * | 2010-01-27 | 2011-08-17 | VMWare, Inc. | Independent access to virtual machine desktop content |
WO2012035575A1 (en) * | 2010-09-14 | 2012-03-22 | Hitachi, Ltd. | Method and device for eliminating patch duplication |
CN103166971A (zh) * | 2013-03-15 | 2013-06-19 | 广东盈嘉科技工程发展股份有限公司 | 一种多路复用串口协议转换器 |
CN103618724A (zh) * | 2013-12-03 | 2014-03-05 | 中标软件有限公司 | 终端机与虚拟机之间的通信方法与通信系统 |
CN104699523A (zh) * | 2015-03-24 | 2015-06-10 | 北京深思数盾科技有限公司 | 用于硬件平台所开发的应用程序的调试方法和系统 |
CN105912953A (zh) * | 2016-05-11 | 2016-08-31 | 北京北信源软件股份有限公司 | 一种基于可信启动的虚拟机数据保护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108255542A (zh) | 2018-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108255542B (zh) | 一种虚拟机的串口并口管控方法与装置 | |
RU2678496C2 (ru) | Диспетчер политик устройства | |
WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
US9594898B2 (en) | Methods and systems for controlling access to resources and privileges per process | |
KR101996694B1 (ko) | 모바일 장치 상의 원격 정책을 적용 및 공유하는 기술 | |
US10523714B2 (en) | Device policy composition and management system | |
JP6055574B2 (ja) | セキュアなオペレーティングシステム環境へのコンテキストベースのスイッチング | |
US20120179731A1 (en) | Method, Apparatus and System for Accessing Remote Files | |
CN102202062B (zh) | 一种实现访问控制的方法和装置 | |
CN110633110A (zh) | 一种服务器的启动方法、设备以及存储介质 | |
CN107463369A (zh) | 一种虚拟桌面的接入设备控制方法与装置 | |
CN107835179B (zh) | 一种基于虚拟化容器的应用程序防护方法与装置 | |
CN108200053B (zh) | 记录apt攻击操作的方法及装置 | |
WO2010037902A1 (en) | Method, apparatus and computer program product for providing object privilege modification | |
US20190073271A1 (en) | Device backup and wipe | |
CN105335197A (zh) | 终端中应用程序的启动控制方法和装置 | |
CN111708664A (zh) | 一种客户端的日志管理方法、设备以及介质 | |
CN111147340A (zh) | 一种对can总线接口进行网络化访问的方法、设备及介质 | |
CN102222201A (zh) | 一种文件扫描方法及装置 | |
CN111723369A (zh) | 一种ftp服务器的文件管理方法、设备以及介质 | |
CN110619214A (zh) | 一种监控软件正常运行的方法和装置 | |
WO2020215211A1 (zh) | 一种站点会话终止方法、装置、终端设备及介质 | |
US10699014B2 (en) | Preventing connecting to a locked device | |
CN110659035A (zh) | 一种基于bmc批量挂载镜像的方法和装置 | |
CN115809118A (zh) | 一种java进程动态防护方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 100195 Room 301, floor 3, building 103, No. 3, minzhuang Road, Haidian District, Beijing Patentee after: Mixin (Beijing) Digital Technology Co.,Ltd. Address before: 100093 301, 3rd floor, building 103, 3 minzhuang Road, Haidian District, Beijing Patentee before: BEIJING BEIXINYUAN INFORMATION SECURITY TECHNOLOGY CO.,LTD. |