CN108965105A - 一种审计tim聊天内容的方法 - Google Patents
一种审计tim聊天内容的方法 Download PDFInfo
- Publication number
- CN108965105A CN108965105A CN201810592032.3A CN201810592032A CN108965105A CN 108965105 A CN108965105 A CN 108965105A CN 201810592032 A CN201810592032 A CN 201810592032A CN 108965105 A CN108965105 A CN 108965105A
- Authority
- CN
- China
- Prior art keywords
- tim
- message
- windows
- file
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012550 audit Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 title claims abstract description 14
- 230000005540 biological transmission Effects 0.000 claims abstract description 11
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 abstract description 4
- 238000004458 analytical method Methods 0.000 abstract description 3
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 210000004209 hair Anatomy 0.000 description 1
- 238000004573 interface analysis Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
Abstract
一种审计TIM聊天内容的方法,包括如下步骤:a)安装一个Windows消息钩子函数;b)通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中;c)将真实地址作为原始地址保存;d)完成对TIM程序中消息发送和接收的导出函数的挂钩操作;e)Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词;f)Windows消息钩子函数对发送消息或文件进行阻断;g)Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中。通过获取TIM聊天工具具体的消息发送及接收导出函数,并且对聊天信息进行分析阻断,提高了TIM软件对聊天信息的审计,防止泄密情况的发生。
Description
技术领域
本发明涉及聊天工具内容安全领域,具体涉及一种审计TIM聊天内容的方法。
背景技术
当前互联网通讯工具剧增,TIM作为腾讯新推出的专门为办公使用的一款聊天工具,因界面简洁,小工具实用等方面迅速占领了职场的聊天市场,即时聊天工具主动泄密的问题一直是企业机密信息的安全隐患,由其造成的损失已经了不可忽视的影响,一种新的聊天工具的出现标识着更多的泄密途径。 TIM作为新出的聊天工具,市面上暂时未出现完善的聊天信息审计,大部分采用界面分析的方式来进行实现,但此类实现会随着界面变化而失效,并且无法组织聊天信息的发送。
发明内容
本发明为了克服以上技术的不足,提供了一种可以获取TIM聊天工具具体消息发送及接收导出函数,对聊天信息进行分析阻断的审计TIM聊天内容的方法。
本发明克服其技术问题所采用的技术方案是:
一种审计TIM聊天内容的方法,包括如下步骤:
a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;
b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄;
c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存;
d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作;
e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词,如发送的消息和文件中含有涉密关键词则执行步骤f),如发送的消息和文件中不含有涉密关键词则执行步骤g);
f) Windows消息钩子函数对发送消息或文件进行阻断,向TIM程序返回发送失败信息;
g) Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中,每间隔N分钟将sqlite数据库中数据提交到审计服务器,提交成功后将本地缓存清除。
进一步的,步骤d)中包括TIM程序中个人或群或讨论组或文件的消息发送和接收的导出函数。
进一步的,步骤e)中TIM应用程序发送消息包括TIM程序中个人或群或讨论组中发送的信息。
进一步的,步骤g)中sqlite数据库中字段包含消息发送者信息、消息接收者信息、聊天信息信息、文件路径信息。
进一步的,步骤g)中N等于10。
本发明的有益效果是:通过挂钩的方式把DLL动态库加载到TIM聊天工具中,通过TIM聊天工具自身的动态库导出获取到具体的消息发送及接收导出函数,通过挂钩的方式可以做到不影响正常使用且无感知,当发送聊天信息时可以对聊天内容进行监控并分析,匹配到关键信息可以及时进行阻断发送,并且可以对整个聊天及文件发送进行审计,通过及时阻断可以防止泄密,通过审计可以回溯整个聊天记录,提高聊天工具的使用安全性,防止出现通过聊天工具进行泄密的情况。
具体实施方式
下面对本发明做进一步说明。
一种审计TIM聊天内容的方法,包括如下步骤:
a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数。应用程序能够设置相应的子进程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们,钩子机制允许应用程序截获处理Window 消息或特定事件,通过系统调用,把它挂入系统。 每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,即钩子函数先得到控制权。 这时钩子函数既可以加工处理 ( 改变 ) 该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄。
c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存。使用钩子函数的地址替换消息发送/接收操作函数的地址,完成对个人/群/讨论组/文件等消息发送和接收的导出函数进行挂钩操作。
d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作。
e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词,如发送的消息和文件中含有涉密关键词则执行步骤f),如发送的消息和文件中不含有涉密关键词则执行步骤g)。
f) Windows消息钩子函数对发送消息或文件进行阻断,向TIM程序返回发送失败信息。则当前用户的消息及文件无法正常发送,做到对保密信息的保护。
g) Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中,每间隔N分钟将sqlite数据库中数据提交到审计服务器,提交成功后将本地缓存清除,减少本地磁盘的占用空间。
通过获取TIM聊天工具具体的消息发送及接收导出函数,并且对聊天信息进行分析阻断,提高了TIM软件对聊天信息的审计,防止泄密情况的发生。
步骤d)中包括TIM程序中个人或群或讨论组或文件的消息发送和接收的导出函数。
步骤e)中TIM应用程序发送消息包括TIM程序中个人或群或讨论组中发送的信息。
步骤g)中sqlite数据库中字段包含消息发送者信息、消息接收者信息、聊天信息信息、文件路径信息。
步骤g)中N等于10。
Claims (5)
1.一种审计TIM聊天内容的方法,其特征在于,包括如下步骤:
a)在Windows系统中创建一个Windows窗口,通过Windows系统中SetWindowsHook函数来安装一个Windows消息钩子函数;
b)在Windows系统中运行TIM,TIM应用程序启动时,通过Windows消息钩子函数把Windows系统的DLL动态库加载到TIM应用程序中,Windows系统通过LoadLibraryW或GetModuleHandleW函数获取TIM应用程序中的动态库中KernelUtil.dll、Common.dll的模块句柄;
c)通过动态库中KernelUtil.dll、Common.dll的模块句柄获取TIM消息发送或接收操作函数的真实地址,将真实地址作为原始地址保存;
d)通过Windows消息钩子函数地址替换保存的原始地址,完成对TIM程序中消息发送和接收的导出函数的挂钩操作;
e)当TIM应用程序发送消息或文件时,Windows消息钩子函数判断发送的消息和文件中是否具有系统管理员配置的涉密关键词,如发送的消息和文件中含有涉密关键词则执行步骤f),如发送的消息和文件中不含有涉密关键词则执行步骤g);
f) Windows消息钩子函数对发送消息或文件进行阻断,向TIM程序返回发送失败信息;
g) Windows系统将TIM应用程序发送消息或文件保持到系统本地的sqlite数据库中,每间隔N分钟将sqlite数据库中数据提交到审计服务器,提交成功后将本地缓存清除。
2.根据权利要求1所述的审计TIM聊天内容的方法,其特征在于:步骤d)中包括TIM程序中个人或群或讨论组或文件的消息发送和接收的导出函数。
3.根据权利要求1所述的审计TIM聊天内容的方法,其特征在于:步骤e)中TIM应用程序发送消息包括TIM程序中个人或群或讨论组中发送的信息。
4.根据权利要求1所述的审计TIM聊天内容的方法,其特征在于:步骤g)中sqlite数据库中字段包含消息发送者信息、消息接收者信息、聊天信息信息、文件路径信息。
5.根据权利要求1所述的审计TIM聊天内容的方法,其特征在于:步骤g)中N等于10。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810592032.3A CN108965105B (zh) | 2018-06-11 | 2018-06-11 | 一种审计tim聊天内容的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810592032.3A CN108965105B (zh) | 2018-06-11 | 2018-06-11 | 一种审计tim聊天内容的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108965105A true CN108965105A (zh) | 2018-12-07 |
CN108965105B CN108965105B (zh) | 2021-02-26 |
Family
ID=64488158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810592032.3A Active CN108965105B (zh) | 2018-06-11 | 2018-06-11 | 一种审计tim聊天内容的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108965105B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111026609A (zh) * | 2019-12-06 | 2020-04-17 | 深信服科技股份有限公司 | 一种信息审计方法、系统、设备及计算机可读存储介质 |
CN111209590A (zh) * | 2019-12-31 | 2020-05-29 | 北京指掌易科技有限公司 | 应用数据审计方法、装置、设备及存储介质 |
CN111368292A (zh) * | 2020-03-04 | 2020-07-03 | 深信服科技股份有限公司 | 即时通讯软件消息数据截获方法、装置、设备及介质 |
WO2020186491A1 (en) * | 2019-03-21 | 2020-09-24 | Citrix Systems, Inc. | Multi-device workspace notifications |
CN112118172A (zh) * | 2020-09-18 | 2020-12-22 | 北京明朝万达科技股份有限公司 | 一种聊天内容审计方法、装置、电子设备及存储介质 |
CN112165426A (zh) * | 2020-10-15 | 2021-01-01 | 北京明朝万达科技股份有限公司 | 一种基于Linux系统的文件发送方法、装置和系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020033838A1 (en) * | 2000-05-15 | 2002-03-21 | Scott Krueger | Method and system for seamless integration of preprocessing and postprocessing functions with an existing application program |
US20050060412A1 (en) * | 2003-09-16 | 2005-03-17 | Chebolu Anil Kumar | Synchronizing automatic updating of client |
CN102075450A (zh) * | 2009-11-19 | 2011-05-25 | 北京明朝万达科技有限公司 | 一种通用的即时聊天工具内容记录方法 |
CN104951375A (zh) * | 2015-07-01 | 2015-09-30 | 北京博睿宏远科技发展有限公司 | 基于函数拦截技术的手机app性能数据采集方法 |
CN106209594A (zh) * | 2016-07-20 | 2016-12-07 | 北京北信源软件股份有限公司 | 一种终端审计im即时消息的方法 |
CN106325927A (zh) * | 2016-08-19 | 2017-01-11 | 北京金山安全管理系统技术有限公司 | 一种应用于Linux系统中动态库API的拦截方法及装置 |
CN106603540A (zh) * | 2016-12-21 | 2017-04-26 | 北京天融信网络安全技术有限公司 | 一种即时通信信息的监控方法及装置 |
CN106709288A (zh) * | 2016-12-22 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 应用程序审核操作权限处理方法和装置 |
CN107239702A (zh) * | 2016-03-29 | 2017-10-10 | 腾讯科技(深圳)有限公司 | 一种安全漏洞检测的方法以及装置 |
-
2018
- 2018-06-11 CN CN201810592032.3A patent/CN108965105B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020033838A1 (en) * | 2000-05-15 | 2002-03-21 | Scott Krueger | Method and system for seamless integration of preprocessing and postprocessing functions with an existing application program |
US20050060412A1 (en) * | 2003-09-16 | 2005-03-17 | Chebolu Anil Kumar | Synchronizing automatic updating of client |
CN102075450A (zh) * | 2009-11-19 | 2011-05-25 | 北京明朝万达科技有限公司 | 一种通用的即时聊天工具内容记录方法 |
CN104951375A (zh) * | 2015-07-01 | 2015-09-30 | 北京博睿宏远科技发展有限公司 | 基于函数拦截技术的手机app性能数据采集方法 |
CN107239702A (zh) * | 2016-03-29 | 2017-10-10 | 腾讯科技(深圳)有限公司 | 一种安全漏洞检测的方法以及装置 |
CN106209594A (zh) * | 2016-07-20 | 2016-12-07 | 北京北信源软件股份有限公司 | 一种终端审计im即时消息的方法 |
CN106325927A (zh) * | 2016-08-19 | 2017-01-11 | 北京金山安全管理系统技术有限公司 | 一种应用于Linux系统中动态库API的拦截方法及装置 |
CN106603540A (zh) * | 2016-12-21 | 2017-04-26 | 北京天融信网络安全技术有限公司 | 一种即时通信信息的监控方法及装置 |
CN106709288A (zh) * | 2016-12-22 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 应用程序审核操作权限处理方法和装置 |
Non-Patent Citations (1)
Title |
---|
ZI_WU_XIAN: "windows中使用钩子拦截消息", 《百度》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020186491A1 (en) * | 2019-03-21 | 2020-09-24 | Citrix Systems, Inc. | Multi-device workspace notifications |
US11171912B2 (en) | 2019-03-21 | 2021-11-09 | Citrix Systems, Inc. | Multi-device workspace notifications |
US11546287B2 (en) | 2019-03-21 | 2023-01-03 | Citrix Systems, Inc. | Multi-device workspace notifications |
CN111026609A (zh) * | 2019-12-06 | 2020-04-17 | 深信服科技股份有限公司 | 一种信息审计方法、系统、设备及计算机可读存储介质 |
CN111026609B (zh) * | 2019-12-06 | 2021-11-19 | 深信服科技股份有限公司 | 一种信息审计方法、系统、设备及计算机可读存储介质 |
CN111209590A (zh) * | 2019-12-31 | 2020-05-29 | 北京指掌易科技有限公司 | 应用数据审计方法、装置、设备及存储介质 |
CN111368292A (zh) * | 2020-03-04 | 2020-07-03 | 深信服科技股份有限公司 | 即时通讯软件消息数据截获方法、装置、设备及介质 |
CN112118172A (zh) * | 2020-09-18 | 2020-12-22 | 北京明朝万达科技股份有限公司 | 一种聊天内容审计方法、装置、电子设备及存储介质 |
CN112165426A (zh) * | 2020-10-15 | 2021-01-01 | 北京明朝万达科技股份有限公司 | 一种基于Linux系统的文件发送方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108965105B (zh) | 2021-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108965105A (zh) | 一种审计tim聊天内容的方法 | |
US8032489B2 (en) | Log collection, structuring and processing | |
CN106161395B (zh) | 一种防止暴力破解的方法、装置及系统 | |
AU2006315555B2 (en) | Log collection, structuring and processing | |
CA2526759A1 (en) | Event monitoring and management | |
US8250138B2 (en) | File transfer security system and method | |
CN104038466B (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
CN108337266B (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
CN108052824B (zh) | 一种风险防控方法、装置及电子设备 | |
CN105516081A (zh) | 一种服务器下发安全策略的方法、系统及消息队列中间件 | |
US20190044965A1 (en) | Systems and methods for discriminating between human and non-human interactions with computing devices on a computer network | |
CN113311809A (zh) | 一种基于工业控制系统的安全运维指令阻断装置和方法 | |
CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
CN103441923A (zh) | 一种基于网络应用软件的安全文件传输方法和装置 | |
KR100773416B1 (ko) | P2p 및 인스턴트 메신저의 네트워크 트래픽 제어 방법및 시스템 | |
CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
US8935752B1 (en) | System and method for identity consolidation | |
CN113449302A (zh) | 一种检测恶意软件的方法 | |
EP3414683B1 (en) | Comparison of behavioral populations for security and compliance monitoring | |
CN112258137A (zh) | 一种邮件阻断方法及装置 | |
US10003558B2 (en) | Electronic mail attachment hold and dispatch for security monitoring | |
CN113778709B (zh) | 接口调用方法、装置、服务器及存储介质 | |
CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
CN112835794A (zh) | 一种基于Swoole的代码执行问题的定位监测方法及系统 | |
CN112581129A (zh) | 区块链交易数据治理方法及装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right |
Effective date of registration: 20231113 Granted publication date: 20210226 |
|
PP01 | Preservation of patent right |