CN117272287A - 一种应用程序数据重定向方法及系统、存储介质 - Google Patents
一种应用程序数据重定向方法及系统、存储介质 Download PDFInfo
- Publication number
- CN117272287A CN117272287A CN202311556614.3A CN202311556614A CN117272287A CN 117272287 A CN117272287 A CN 117272287A CN 202311556614 A CN202311556614 A CN 202311556614A CN 117272287 A CN117272287 A CN 117272287A
- Authority
- CN
- China
- Prior art keywords
- target
- redirection
- system call
- preset
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 270
- 230000008569 process Effects 0.000 claims abstract description 231
- 230000006870 function Effects 0.000 claims description 164
- 244000035744 Hura crepitans Species 0.000 claims description 49
- 238000004590 computer program Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 15
- 238000002955 isolation Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种应用程序数据重定向方法及系统、存储介质,应用于电子设备,所述方法包括:接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。能够提高应用程序访问电子设备操作系统的安全性。
Description
技术领域
本申请实施例涉及信息安全技术,涉及但不限于一种应用程序数据重定向方法及系统、存储介质。
背景技术
沙箱技术是一种隔离运行机制,其目的是将可疑应用程序进程对电子设备操作系统(例如,Linux操作系统等)的访问请求重定向到隔离环境中,从而消除可疑应用程序对操作系统带来的风险,目前沙箱技术已广泛应用于网络安全、数据安全等领域。
目前,部分国内厂家采用的沙箱技术是在国外开源沙箱技术的基础上进行迭代开发得到的,可能会存在一些潜在的安全隐患。国内厂家自主开发的沙箱技术则是基于操作系统的应用层实现沙箱技术,然而,基于应用层实现沙箱技术也存在安全性较低的问题。因此,如何提高应用程序访问电子设备操作系统时的安全性成为亟待解决的问题。
发明内容
有鉴于此,本申请实施例提供的一种应用程序数据重定向方法及系统、存储介质,本申请实施例提供的一种应用程序数据重定向方法及系统、存储介质是这样实现的:
本申请实施例提供的一种应用程序数据重定向方法,应用于电子设备,所述方法包括:
接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;
获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;
判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;
在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。
本申请实施例,根据预设的重定向策略有助于拦截并隔离不受信任的应用程序进程,实现了对不受信任的应用程序进程的数据重定向,可以有效控制应用程序进程的访问请求和保护电子设备操作系统上的关键资源和敏感数据,提高了应用程序访问电子设备操作系统的安全性。
在一些实施例中,所述电子设备包括至少一种用户空间系统调用函数,所述目标系统调用接口与目标用户空间系统调用函数对应,所述至少一个用户空间系统调用函数包括所述目标用户空间系统调用函数,所述访问请求是所述目标进程调用所述目标用户空间系统调用函数访问所述电子设备的存储空间生成的。
该实施例中,通过调用目标用户空间系统调用函数访问电子设备操作系统有助于简化应用程序开发过程、提高可移植性、增强访问的安全性等。
在一些实施例中,所述获取预设重定向策略,包括:
从沙箱策略文件中获取所述预设重定向策略,所述沙箱策略文件是通过沙箱程序将所述预设进程的标识信息与重定向的目标存储空间的对应关系写入到所述沙箱策略文件中生成的。
该实施例中,将预设重定向策略写入到沙箱策略文件中,可以集中管理和配置所有的重定向策略,提高获取预设重定向策略的效率;此外,还可以灵活更改和设置不受信任的应用程序进程的标识信息,并制定不同的重定向策略。
在一些实施例中,所述根据所述预设重定向策略控制所述目标进程访问所述目标存储空间,包括:
根据所述预设重定向策略,以及所述访问请求,得到重定向参数,所述重定向参数包括所述目标进程的标识信息以及与所述目标进程的标识信息对应的目标存储空间;
根据所述重定向参数,控制所述目标进程访问所述目标存储空间。
该实施例中,可以确保目标进程只能访问目标存储空间,而无法越权访问其他存储空间的敏感数据或资源,从而提高应用程序访问电子设备操作系统时的安全性。
在一些实施例中,所述电子设备还包括至少一种内核空间系统调用函数,所述至少一种用户空间系统调用函数与所述至少一种内核空间系统调用函数一一对应,所述根据所述重定向参数,控制所述目标进程访问所述目标存储空间,包括:
根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求,所述至少一种内核空间系统调用函数包括所述目标内核空间系统调用函数;
根据所述重定向后的访问请求,控制所述目标进程访问所述目标存储空间。
该实施例中,根据重定向后的访问请求,可以限制目标进程对原始存储空间的访问权限,从而保障了原始存储空间中的数据安全。
在一些实施例中,所述访问请求中包括所述目标进程访问的原始存储空间,所述根据所述预设重定向策略,以及所述访问请求,得到重定向参数,包括:
判断所述原始存储空间是否与所述目标存储空间不同;
在所述原始存储空间与所述目标存储空间不同的情况下,根据所述预设重定向策略,以及所述访问请求,得到所述重定向参数。
该实施例中,只有当请求访问的原始存储空间与目标原始空间不同的情况下,才执行根据预设重定向策略生成重定向参数的步骤,降低了应用数据重定向时的资源消耗。
在一些实施例中,所述电子设备还包括系统函数调用表,所述系统函数调用表中存储各个内核空间系统调用函数的入口地址,在所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求之前,所述方法还包括:
从所述系统函数调用表中获取所述目标内核空间系统调用函数的目标入口地址;
所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求,包括:
根据所述目标入口地址得到所述目标内核空间系统调用函数;
根据所述重定向参数对所述目标内核空间系统调用函数中的相关参数进行赋值,得到所述重定向后的访问请求。
该实施例中,通过将重定向参数自动赋值给内核空间系统调用函数中的相关参数,可以确保内核空间系统调用函数能够及时、准确的处理和响应来自用户空间的访问请求,提高进程访问目标存储空间的效率。
本申请实施例提供的一种应用程序数据重定向系统,应用于电子设备,所述应用程序数据重定向系统包括接收模块、获取模块、判断模块和控制模块,其中:
所述接收模块,用于接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;
所述获取模块,用于获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;
所述判断模块,用于判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;
所述控制模块,用于在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。
本申请实施例提供的一种应用程序数据重定向系统,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例所述的方法。
本申请实施例提供的计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例提供的所述的方法。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
图1是本申请实施例公开的一种应用程序数据重定向方法的示意图;
图2是本申请实施例公开的一种应用程序访问电子设备操作系统的逻辑示意图;
图3是本申请实施例公开的另一种应用程序数据重定向方法的示意图;
图4是本申请实施例公开的又一种应用程序数据重定向方法的示意图;
图5是本申请实施例公开的一种采用重定向策略时应用程序访问电子设备操作系统的逻辑示意图;
图6是本申请实施例公开的一种应用程序数据重定向系统的结构示意图;
图7是本申请实施例公开的另一种应用程序数据重定向系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的具体技术方案做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一\第二\第三”用以区别类似或不同的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
沙箱技术是一种隔离运行机制,其目的是将可疑应用程序进程对电子设备中操作系统(例如,Linux操作系统等)的访问请求重定向到隔离环境中。采用沙箱技术可以限制不可信的应用程序进程或者不可信的代码运行时的访问权限,同时为不可信应用程序进程提供虚拟化的内存、文件系统、网络等资源,以实现数据隔离,从而消除可疑应用程序对操作系统带来的风险。目前沙箱技术已广泛应用于网络安全、数据安全等领域。
目前,部分国内厂家采用的沙箱技术是在国外开源沙箱技术的基础上进行迭代开发得到的,可能会存在一些潜在的安全隐患,例如,开源的源码中有植入的病毒等。国内厂家自主开发的沙箱技术则是基于操作系统的应用层实现沙箱技术,然而,在用户层实现沙箱技术是在应用程序内部进行的,因此受限于应用程序本身的安全性,如果应用程序本身存在漏洞或恶意代码,则可能会绕过沙箱的限制并对操作系统造成攻击或破坏,使得基于操作系统的应用层实现沙箱技术也存在安全性较低的问题。此外,基于操作系统的应用层实现沙箱技术还会导致出现延迟等问题,例如,在应用层实现沙箱技术通常通过拦截和修改应用程序对应的系统调用接口来限制其访问操作系统,这种拦截和修改的过程中会产生额外的延迟,导致应用程序的性能下降,特别是在频繁的系统调用和沙箱检查的情况下。
因此,如何提高应用程序访问电子设备操作系统的安全性成为亟待解决的问题。
有鉴于此,本申请实施例提供一种应用程序数据重定向方法及系统、存储介质,应用于电子设备,该方法包括:接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。
为了使本申请的目的、技术方案更加清楚直观,下面将结合附图对本申请公开的一种应用程序数据重定向方法进行详细描述。
请参见图1,图1为本申请实施例提供的一种应用程序数据重定向方法的示意图。如图1所示的方法应用于电子设备。
应理解,本申请实施例涉及的电子设备可以是手机(mobile phone)、平板电脑、笔记本电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备、虚拟现实(virtual reality,VR)设备、增强现实(augmented reality,AR)设备、耳机、工业控制(industrial control)中的终端、无人驾驶(self driving)中的终端、个人数字助理(personal digital assistant,PDA)等,本申请实施例对此并不限定。
步骤101,接收目标进程的访问请求,访问请求通过调用电子设备的目标系统调用接口访问电子设备的存储空间,访问请求中包括目标进程的标识信息。
应理解,本申请实施例涉及的电子设备中安装有操作系统,所述操作系统可以是Linux操作系统、Windows操作系统、Mac操作系统、Android操作系统、IOS操作系统、ChromeOS操作系统、Unix操作系统等,本申请实施例对此并不限定。
请参见图2,图2为本申请实施例提供的一种应用程序访问电子设备操作系统的逻辑示意图。如图2所示的操作系统结构可以划分为用户层、内核层以及硬件层,不同的空间层实现不同的功能。其中,用户层是操作系统的最上层,用户可以在用户层使用各种应用程序,这些应用程序通过调用系统调用接口来完成数据读写等操作,使应用程序可以方便地与操作系统进行交互。内核层是操作系统的核心部分,负责管理和控制电子设备硬件资源和提供关键功能的重要任务,例如进程管理、内存管理、文件系统、设备驱动程序等。硬件层是操作系统的最底层,包括电子设备的物理硬件,如处理器、内存、硬盘、网络接口等。硬件层提供了操作系统所需的计算和存储能力,并提供与操作系统交互的接口。
在本申请实施例中,所述电子设备上安装有各种应用程序,当应用程序想要访问电子设备的存储空间时,则生成访问请求,进一步地,电子设备可以接收应用程序的访问请求。
需要说明的是,当用户在电子设备上使用应用程序的过程中,操作系统会为应用程序创建一个独立的进程,操作系统为每个进程分配资源,如内存、处理器时间和访问权限等,以便应用程序能够通过操作系统提供的资源和通信机制来实现任务的执行和数据的交互。因此,所述接收应用程序的访问请求即为接收目标进程的访问请求。
在本申请实施例中,所述目标进程的访问请求可以包括目标进程的标识信息,所述标识信息是每个进程对应的唯一标识符,以告知操作系统当前发访问电子设备的是具体哪个目标进程。需要说明的是,标识信息通常由操作系统在应用程序访问电子设备时为每个进程自动分配唯一的标识信息。
在本申请实施例中,所述目标进程的访问请求可以通过调用操作系统提供的目标系统调用接口来完成数据读写等操作,以达到应用程序访问电子设备的存储空间的目的。所述系统调用接口允许目标进程向电子设备请求特定的服务或操作。
需要说明的是,所述目标系统调用接口是操作系统提供给目标进程的一组系统调用函数。进一步的,所述目标系统调用接口与所述目标系统调用函数对应,即目标进程调用目标系统调用函数时实际上是在调用目标系统调用接口。所述目标系统调用函数是目标进程调用系统调用接口的具体函数,这些目标系统调用函数通常是由操作系统提供的库函数或系统库中的函数,用于封装底层的系统调用,使得目标进程能够以更方便的方式与操作系统进行交互。
在本申请实施例中,所述电子设备包括至少一种用户空间系统调用函数(例如,open、write、read、stat、mkdir等),所述目标系统调用接口与目标用户空间系统调用函数对应,所述至少一个用户空间系统调用函数包括所述目标用户空间系统调用函数,所述访问请求是所述目标进程调用所述目标用户空间系统调用函数访问所述电子设备的存储空间生成的。
需要说明的是,所述用户空间系统调用函数是操作系统提供给应用程序的系统调用接口,所述用户空间系统调用函数允许应用程序以一种受控和受保护的方式调用底层的系统调用,实现对操作系统功能的访问。
在本申请实施例中,所述电子设备还包括至少一种内核空间系统调用函数(例如,sys_open、sys_write、sys_read、sys_stat、sys_mkdir等),所述至少一种用户空间系统调用函数与所述至少一种内核空间系统调用函数一一对应,所述至少一种内核空间系统调用函数包括所述目标内核空间系统调用函数。
需要说明的是,所述内核空间系统调用函数是操作系统内核中实现系统调用功能的函数,所述内核空间系统调用函数接收来自用户空间的系统调用请求,并执行相应的内核代码来完成访问请求,所述内核空间系统调用函数提供了对操作系统硬件层功能的直接访问和控制。
应理解,当目标进程访问所述电子设备的存储空间时,所述目标进程的访问请求可以通过调用目标用户空间系统调用函数以及目标内核空间系统调用函数共同实现目标进程与操作系统之间的系统调用机制,以访问电子设备的存储空间。
作为一种示例,请参见图2,图2中包括应用程序201、访问请求202、用户空间系统调用函数203、内核空间系统调用函数204、存储空间205,图2中画出的模块单元仅作为一种示例来描述应用程序访问电子设备操作系统时的逻辑关系,不应对本申请实施例构成限定,在实际访问过程中所述电子设备操作系统还包括其他模块单元,在此不作赘述。
图2所示的用户空间系统调用函数203是操作系统在用户层提供的系统调用函数,可以对应用程序201对应的访问请求202的访问权限进行验证,在验证通过的情况下所述用户空间系统调用函数203允许访问请求202在操作系统用户层与操作系统内核层之间进行交互。进一步地,内核空间系统调用函数204接收来自用户空间系统调用函数203发送的访问请求202,内核空间系统调用函数204对访问请求202的访问权限进一步验证,在验证通过的情况下内核空间系统调用函数204允许访问请求202在操作系统内核层与操作系统硬件层之间进行交互,确保访问请求202只能访问其被授权的电子设备的存储空间205,以提高电子设备的数据安全性。该实施例中,通过调用目标用户空间系统调用函数以及内核空间系统调用函数访问电子设备操作系统有助于简化应用程序开发过程、提高可移植性、增强访问的安全性等。
步骤102,获取预设重定向策略,预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系。
在本申请实施例中,当接收到目标进程的访问请求之后,获取预设的重定向策略,所述预设的重定向策略是用来对接收到目标进程的访问请求进行验证及控制的,只有当目标进程的访问请求符合预设重定向策略的情况下,才执行预设重定向策略。
进一步地,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系,所述预设进程可以是预设的不受信任或需要管控的应用程序的进程,本领域技术人员可以根据实际需求确定预设进程,以及设置预设进程的标识信息与重定向的目标存储空间的对应关系,在此不作限定。
需要说明的是,所述重定向的目标存储空间可以是指定的隔离环境,例如沙箱指定的文件夹空间,所述文件夹空间中包括沙箱提供的虚拟化的内存、文件系统、网络等电子设备的资源,隔离环境内的预设进程可以在相对独立的环境中运行,从而限制预设进程对操作系统硬件层核心资源的访问。所述重定向的目标存储空间可以是指定的访问路径或位置等,从而只允许预设进程访问指定的访问路径或位置,从而限制预设进程对操作系统硬件层核心资源的访问。本申请实施例通过设置重定向的目标存储空间有助于当目标进程为不受信任的应用程序的进程的情况下,确保目标进程无法访问电子设备中的关键资源和敏感数据等信息。
还需要说明的是,以上列举的重定向的目标存储空间仅仅是沙箱技术中几种不同的隔离和限制应用程序进程运行环境的安全机制,本领域技术人员可以根据需求设置不同的安全机制,在此不作限定。
步骤103,判断目标进程的标识信息是否与所述预设进程的标识信息相同。
在本申请实施例中,可以通过判断目标进程的标识信息是否与所述预设进程的标识信息相同来验证接收到目标进程的访问请求是否符合预设重定向策略,从而进一步确定是否执行所述预设重定向策略。
步骤104,在目标进程的标识信息与预设进程的标识信息相同的情况下,根据预设重定向策略控制目标进程访问目标存储空间。
在本申请实施例中,若目标进程的标识信息与预设进程的标识信息相同的情况下,根据预设重定向策略控制目标进程访问目标存储空间。例如,当判断出目标进程的标识信息与预设进程的标识信息相同,则表示当前目标进程只能访问该目标存储空间。进一步地,所述目标进程的访问请求可以通过调用所述电子设备的目标系统调用接口访问所述电子设备的目标存储空间,可以理解的,所述访问请求是所述目标进程调用所述目标用户空间系统调用函数访问所述电子设备的目标存储空间生成的。
可见,实施本申请实施例,根据预设的重定向策略有助于拦截并隔离不受信任的应用程序进程,实现了对不受信任的应用程序进程的数据重定向,可以有效控制应用程序进程的访问请求和保护电子设备操作系统上的关键资源和敏感数据,提高了应用程序访问电子设备操作系统的安全性。
请参见图3,图3为本申请实施例提供的另一种应用程序数据重定向方法的示意图。如图3所示的方法可以包括以下步骤:
步骤301,接收目标进程的访问请求,访问请求通过调用电子设备的目标系统调用接口访问电子设备的存储空间,访问请求中包括目标进程的标识信息。
关于步骤301可对应参考前述步骤101中的相关介绍,这里不再赘述。
步骤302,从沙箱策略文件中获取预设重定向策略,沙箱策略文件是通过沙箱程序将预设进程的标识信息与重定向的目标存储空间的对应关系写入到沙箱策略文件中生成的。
在本申请实施例中,可以在沙箱策略文件中获取预设重定向策略,所述沙箱策略文件可以由开发人员提前将预设进程的标识信息与重定向的目标存储空间的对应关系编写到沙箱程序中,从而获得沙箱策略文件。
步骤303,判断目标进程的标识信息是否与所述预设进程的标识信息相同。
关于步骤303可对应参考前述步骤103中的相关介绍,这里不再赘述。
步骤304,在目标进程的标识信息与预设进程的标识信息相同的情况下,根据预设重定向策略,以及访问请求,得到重定向参数,重定向参数包括目标进程的标识信息以及与目标进程的标识信息对应的目标存储空间。
在本申请实施例中,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系。所述访问请求中包括所述目标进程的标识信息。进一步地,所述访问请求中还包括所述目标进程访问的原始存储空间,本申请对所述访问请求中包括的信息不作限定。
作为一种可选的实施方式,在目标进程的标识信息与预设进程的标识信息相同的情况下,所述根据所述预设重定向策略,以及所述访问请求,得到重定向参数,包括:
判断所述原始存储空间是否与所述目标存储空间不同;
在所述原始存储空间与所述目标存储空间不同的情况下,根据所述预设重定向策略,以及所述访问请求,得到所述重定向参数。
需要说明的是只有在所述访问请求中的目标进程访问的原始存储空间与预设重定向策略中的目标存储空间不同的情况下,才需要执行所述重定向策略,即将所述访问请求中的目标进程访问的原始存储空间更新为目标存储空间,以得到所述重定向参数。因此,所述重定向参数包括目标进程的标识信息以及与目标进程的标识信息对应的目标存储空间。
应理解,在所述访问请求中的目标进程访问的原始存储空间与预设重定向策略中的目标存储空间相同的情况下,则表示所述访问请求中的目标进程访问的原始存储空间也是一个安全的环境,所述目标进程访问该原始存储空间不会对操作系统的数据安全造成威胁。
采用上述一种可选的实施方式,只有当请求访问的原始存储空间与目标原始空间不同的情况下,才执行根据预设重定向策略生成重定向参数的步骤,降低了应用数据重定向时的资源消耗。
步骤305,根据重定向参数,控制所述目标进程访问所述目标存储空间。
在本申请实施例中,由于所述重定向参数包括目标进程的标识信息以及与目标进程的标识信息对应的目标存储空间,进一步地,控制所述目标进程访问所述目标存储空间。
可见,实施本申请实施例,根据预设的重定向策略有助于拦截并隔离不受信任的应用程序进程,实现了对不受信任的应用程序进程的数据重定向,可以有效控制应用程序进程的访问请求和保护电子设备操作系统上的关键资源和敏感数据,提高了应用程序访问电子设备操作系统的安全性。将预设重定向策略写入到沙箱策略文件中,可以集中管理和配置所有的重定向策略,提高获取预设重定向策略的效率;此外,还可以灵活更改和设置不受信任的应用程序进程的标识信息,并制定不同的重定向策略。可以确保目标进程只能访问目标存储空间,而无法越权访问其他存储空间的敏感数据或资源,从而提高应用程序访问电子设备操作系统时的安全性。
请参见图4,图4为本申请实施例提供的又一种应用程序数据重定向方法的示意图。如图4所示的方法可以包括以下步骤:
步骤401,接收目标进程的访问请求,访问请求通过调用电子设备的目标系统调用接口访问电子设备的存储空间,访问请求中包括目标进程的标识信息。
步骤402,从沙箱策略文件中获取预设重定向策略,沙箱策略文件是通过沙箱程序将预设进程的标识信息与重定向的目标存储空间的对应关系写入到沙箱策略文件中生成的。
步骤403,判断目标进程的标识信息是否与预设进程的标识信息相同。
步骤404,在目标进程的标识信息与预设进程的标识信息相同的情况下,根据预设重定向策略,以及访问请求,得到重定向参数,重定向参数包括目标进程的标识信息以及与目标进程的标识信息对应的目标存储空间。
关于步骤401~404可对应参考前述步骤301~304中的相关介绍,这里不再赘述。
步骤405,根据重定向参数,以及与目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求。
在本申请实施例中,所述电子设备还包括系统函数调用表,所述系统函数调用表中存储各个内核空间系统调用函数的入口地址。
在一些实施例中,所述系统函数调用表中还可以存储各个用户空间系统调用函数的入口地址。
需要说明的是,各个用户空间系统调用函数的入口地址指示了用户层中调用用户空间系统调用函数的代码的位置。例如,当应用程序进程想要访问操作系统时,应用程序进程会从系统函数调用表中通过系统调用号获取用户空间系统调用函数的入口地址,并跳转到该地址执行用户空间系统调用函数向操作系统发起访问请求的操作,最后用户空间系统调用函数会将访问请求传递给内核层。
以及,所述各个内核空间系统调用函数的入口地址指示了内核中调用内核空间系统调用函数的代码的位置。例如,当应用程序进程通过用户空间系统调用函数向操作系统内核层发起系统调用请求时,内核层可以从系统函数调用表中通过系统调用号获取与用户空间系统调用函数对应的内核空间系统调用函数的入口地址,并跳转到该地址执行内核空间系统调用函数向目标存储空间发起访问请求的操作。
还需要说明的是,所述目标用户空间系统调用函数与所述目标内核空间系统调用函数一一对应。
作为一种可选的实施方式,在所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求之前,所述方法还包括:
从所述系统函数调用表中获取所述目标内核空间系统调用函数的目标入口地址。
进一步地,所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求,包括:
根据所述目标入口地址得到所述目标内核空间系统调用函数;
根据所述重定向参数对所述目标内核空间系统调用函数中的相关参数进行赋值,得到所述重定向后的访问请求。
需要说明的是,在根据所述预设重定向策略得到重定向参数以及得到所述目标内核空间系统调用函数后,还需要将所述重定向参数传递给目标内核空间系统调用函数,以保证后续重定向后的访问请求可以控制所述目标进程顺利访问目标存储空间,从而不干扰目标进程对电子设备的访问,同时控制所述目标进程顺利访问目标存储空间还可以保障电子设备中关键资源和敏感数据的泄露,提高访问安全。
在本申请实施例中,重定向参数包括目标进程的标识信息以及与目标进程的标识信息对应的目标存储空间。
在本申请实施例中,所述目标内核空间系统调用函数中的相关参数包括所述目标进程的标识信息与原始存储空间的对应关系。
可选的,所述根据所述重定向参数对所述目标内核空间系统调用函数中的相关参数进行赋值,得到所述重定向后的访问请求包括:
根据所述重定向参数,将所述目标内核空间系统调用函数中的所述目标进程的标识信息与原始存储空间的对应关系更新为所述目标进程的标识信息与目标存储空间的对应关系,得到所述重定向后的访问请求,所述重定向后的访问请求中包括目标进程的标识信息与目标存储空间的对应关系。
采用上述一种可选的实施方式,通过将重定向参数自动赋值给内核空间系统调用函数中的相关参数,可以确保内核空间系统调用函数能够及时、准确的处理和响应来自用户空间的访问请求,提高进程访问目标存储空间的效率。
步骤406,根据重定向后的访问请求,控制目标进程访问目标存储空间。
在本申请实施例中,由于所述重定向后的访问请求中包括所述目标进程的标识信息与目标存储空间的对应关系,进一步地,控制所述目标进程访问所述目标存储空间。
作为一种示例,请参见图5,图5为本申请实施例提供的一种采用重定向策略时应用程序访问电子设备操作系统的逻辑示意图。如图5所示的操作系统结构可以划分为用户层、内核层以及硬件层,图5中包括应用程序501、访问请求502、用户空间系统调用函数503、内核空间系统调用函数504、存储空间505、沙箱程序506、沙箱策略文件507、重定向后的访问请求508、自定义系统调用函数509。图5中画出的模块单元仅作为一种示例来描述采用重定向策略时应用程序访问电子设备操作系统时的逻辑关系,不应对本申请实施例构成限定,在实际访问过程中所述电子设备操作系统还包括其他模块单元,在此不作赘述。
关于图5中应用程序501、访问请求502、用户空间系统调用函数503、内核空间系统调用函数504、存储空间505之间的逻辑关系可对应参考前述图2中应用程序201、访问请求202、用户空间系统调用函数203、内核空间系统调用函数204、存储空间205的相关介绍,这里不再赘述。
图5所示的沙箱程序506是在操作系统用户层设置的沙箱策略文件,沙箱策略文件507是操作系统在内核层从沙箱程序506中编译获取得到的。进一步地,本申请实施例中在内核层编写自定义系统调用函数509(例如my_sys_open),所述自定义系统调用函数509用来读取沙箱策略文件507中的预设重定向策略。不仅如此,自定义系统调用函数509可以接收并读取来自用户空间系统调用函数503发送的访问请求502中的目标进程的标识信息,并将目标进程的标识信息与预设重定向策略中的预设进程的标识信息进行对比。进一步地,若所述目标进程的标识信息与所述预设进程的标识信息相同,自定义系统调用函数509进一步判断所述访问请求502中的原始存储空间是否与所述预设重定向策略中的目标存储空间不同。进一步地,在所述原始存储空间与所述目标存储空间不同的情况下,生成重定向参数,自定义系统调用函数509将重定向参数赋值给内核空间系统调用函数504,并得到重定向后的访问请求508。最后,操作系统在内核层通过内核空间系统调用函数504控制重定向后的访问请求508访问目标存储空间505。
可见,实施本申请实施例,根据预设的重定向策略有助于拦截并隔离不受信任的应用程序进程,实现了对不受信任的应用程序进程的数据重定向,可以有效控制应用程序进程的访问请求和保护电子设备操作系统上的关键资源和敏感数据,提高了应用程序访问电子设备操作系统的安全性。将预设重定向策略写入到沙箱策略文件中,可以集中管理和配置所有的重定向策略,提高获取预设重定向策略的效率;此外,还可以灵活更改和设置不受信任的应用程序进程的标识信息,并制定不同的重定向策略。可以确保目标进程只能访问目标存储空间,而无法越权访问其他存储空间的敏感数据或资源,从而提高应用程序访问电子设备操作系统时的安全性。根据重定向后的访问请求,可以限制目标进程对原始存储空间的访问权限,从而保障了原始存储空间中的数据安全。
应该理解的是,虽然上述各流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,上述各流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。另外,上述多个实施例可以独立实施,也可以相互结合,在此不作限制。
基于前述的实施例,本申请实施例提供一种应用程序数据重定向系统,该系统包括所包括的各模块、以及各模块所包括的各单元,可以通过处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
请参见图6,图6为本申请实施例提供的一种应用程序数据重定向系统的结构示意图,如图6所示的一种应用程序数据重定向系统应用于电子设备,所述系统包括接收模块601、获取模块602、判断模块603和控制模块604,其中:
所述接收模块601,用于接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;
所述获取模块602,用于获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;
所述判断模块603,用于判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;
所述控制模块604,用于在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。
在一些实施例中,所述电子设备包括至少一种用户空间系统调用函数,所述目标系统调用接口与目标用户空间系统调用函数对应,所述至少一个用户空间系统调用函数包括所述目标用户空间系统调用函数,所述访问请求是所述目标进程调用所述目标用户空间系统调用函数访问所述电子设备的存储空间生成的。
在一些实施例中,所述获取模块602,具体用于从沙箱策略文件中获取所述预设重定向策略,所述沙箱策略文件是通过沙箱程序将所述预设进程的标识信息与重定向的目标存储空间的对应关系写入到所述沙箱策略文件中生成的。
在一些实施例中,所述控制模块604,具体用于根据所述预设重定向策略,以及所述访问请求,得到重定向参数,所述重定向参数包括所述目标进程的标识信息以及与所述目标进程的标识信息对应的目标存储空间;根据所述重定向参数,控制所述目标进程访问所述目标存储空间。
在一些实施例中,所述电子设备还包括至少一种内核空间系统调用函数,所述至少一种用户空间系统调用函数与所述至少一种内核空间系统调用函数一一对应。所述控制模块604,还具体用于根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求,所述至少一种内核空间系统调用函数包括所述目标内核空间系统调用函数;根据所述重定向后的访问请求,控制所述目标进程访问所述目标存储空间。
在一些实施例中,所述访问请求中包括所述目标进程访问的原始存储空间。所述控制模块604,还具体用于判断所述原始存储空间是否与所述目标存储空间不同;在所述原始存储空间与所述目标存储空间不同的情况下,根据所述预设重定向策略,以及所述访问请求,得到所述重定向参数。
在一些实施例中,所述电子设备还包括系统函数调用表,所述系统函数调用表中存储各个内核空间系统调用函数的入口地址。在所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求之前,所述获取模块602,还用于从所述系统函数调用表中获取所述目标内核空间系统调用函数的目标入口地址。所述控制模块604,还用于根据所述目标入口地址得到所述目标内核空间系统调用函数;根据所述重定向参数对所述目标内核空间系统调用函数中的相关参数进行赋值,得到所述重定向后的访问请求。
以上系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请系统实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
请参考图7,图7是本申请实施例公开的另一种应用程序数据重定向系统的结构示意图。如图7所示,所述一种应用程序数据重定向系统包括:
存储有可执行程序代码的存储器701;
与所述存储器耦合的处理器702;
处理器702调用存储器701中存储的可执行程序代码,执行上述各方法实施例中任意一种应用程序数据重定向方法。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的一种应用程序数据重定向方法中的步骤。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法实施例提供的一种应用程序数据重定向方法中的步骤。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的一种网络安全监控系统可以实现为一种计算机程序的形式,计算机程序可在如图7所示的计算机设备上运行。计算机设备的存储器中可存储组成上述系统的各个程序模块。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的一种网络安全监控方法中的步骤。
这里需要指出的是:以上存储介质和系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和系统实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”或“一些实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”或“在一些实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如对象A和/或对象B,可以表示:单独存在对象A,同时存在对象A和对象B,单独存在对象B这三种情况。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品、系统或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品、系统或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品、系统或者设备中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个模块或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或模块的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的模块可以是、或也可以不是物理上分开的,作为模块显示的部件可以是、或也可以不是物理模块;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能模块可以全部集成在一个处理单元中,也可以是各模块分别单独作为一个单元,也可以两个或两个以上模块集成在一个单元中;上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(read only memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个系统实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的系统实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种应用程序数据重定向方法,其特征在于,应用于电子设备,所述方法包括:
接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;
获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;
判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;
在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。
2.根据权利要求1所述的方法,其特征在于,所述电子设备包括至少一种用户空间系统调用函数,所述目标系统调用接口与目标用户空间系统调用函数对应,所述至少一个用户空间系统调用函数包括所述目标用户空间系统调用函数,所述访问请求是所述目标进程调用所述目标用户空间系统调用函数访问所述电子设备的存储空间生成的。
3.根据权利要求2所述的方法,其特征在于,所述获取预设重定向策略,包括:
从沙箱策略文件中获取所述预设重定向策略,所述沙箱策略文件是通过沙箱程序将所述预设进程的标识信息与重定向的目标存储空间的对应关系写入到所述沙箱策略文件中生成的。
4.根据权利要求3所述的方法,其特征在于,所述根据所述预设重定向策略控制所述目标进程访问所述目标存储空间,包括:
根据所述预设重定向策略,以及所述访问请求,得到重定向参数,所述重定向参数包括所述目标进程的标识信息以及与所述目标进程的标识信息对应的目标存储空间;
根据所述重定向参数,控制所述目标进程访问所述目标存储空间。
5.根据权利要求4所述的方法,其特征在于,所述电子设备还包括至少一种内核空间系统调用函数,所述至少一种用户空间系统调用函数与所述至少一种内核空间系统调用函数一一对应,所述根据所述重定向参数,控制所述目标进程访问所述目标存储空间,包括:
根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求,所述至少一种内核空间系统调用函数包括所述目标内核空间系统调用函数;
根据所述重定向后的访问请求,控制所述目标进程访问所述目标存储空间。
6.根据权利要求4或5所述的方法,其特征在于,所述访问请求中包括所述目标进程访问的原始存储空间,所述根据所述预设重定向策略,以及所述访问请求,得到重定向参数,包括:
判断所述原始存储空间是否与所述目标存储空间不同;
在所述原始存储空间与所述目标存储空间不同的情况下,根据所述预设重定向策略,以及所述访问请求,得到所述重定向参数。
7.根据权利要求5所述的方法,其特征在于,所述电子设备还包括系统函数调用表,所述系统函数调用表中存储各个内核空间系统调用函数的入口地址,在所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求之前,所述方法还包括:
从所述系统函数调用表中获取所述目标内核空间系统调用函数的目标入口地址;
所述根据所述重定向参数,以及与所述目标用户空间系统调用函数对应的目标内核空间系统调用函数,生成重定向后的访问请求,包括:
根据所述目标入口地址得到所述目标内核空间系统调用函数;
根据所述重定向参数对所述目标内核空间系统调用函数中的相关参数进行赋值,得到所述重定向后的访问请求。
8.一种应用程序数据重定向系统,其特征在于,应用于电子设备,所述应用程序数据重定向系统包括接收模块、获取模块、判断模块和控制模块,其中:
所述接收模块,用于接收目标进程的访问请求,所述访问请求通过调用所述电子设备的目标系统调用接口访问所述电子设备的存储空间,所述访问请求中包括所述目标进程的标识信息;
所述获取模块,用于获取预设重定向策略,所述预设重定向策略包括预设进程的标识信息与重定向的目标存储空间的对应关系;
所述判断模块,用于判断所述目标进程的标识信息是否与所述预设进程的标识信息相同;
所述控制模块,用于在所述目标进程的标识信息与所述预设进程的标识信息相同的情况下,根据所述预设重定向策略控制所述目标进程访问所述目标存储空间。
9.一种应用程序数据重定向系统,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311556614.3A CN117272287B (zh) | 2023-11-21 | 2023-11-21 | 一种应用程序数据重定向方法及系统、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311556614.3A CN117272287B (zh) | 2023-11-21 | 2023-11-21 | 一种应用程序数据重定向方法及系统、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117272287A true CN117272287A (zh) | 2023-12-22 |
CN117272287B CN117272287B (zh) | 2024-03-08 |
Family
ID=89203002
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311556614.3A Active CN117272287B (zh) | 2023-11-21 | 2023-11-21 | 一种应用程序数据重定向方法及系统、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117272287B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140040576A1 (en) * | 2012-08-02 | 2014-02-06 | International Business Machines Corporation | Requesting a memory space by a memory controller |
CN108133153A (zh) * | 2017-11-29 | 2018-06-08 | 北京京航计算通讯研究所 | 基于沙箱技术的云存储安全访问方法 |
US20220207154A1 (en) * | 2020-12-26 | 2022-06-30 | Intel Corporation | Dynamic mitigation of speculation vulnerabilities |
CN115576716A (zh) * | 2022-10-28 | 2023-01-06 | 珠海一微半导体股份有限公司 | 一种基于多进程的内存管理方法 |
CN115629882A (zh) * | 2022-10-28 | 2023-01-20 | 珠海一微半导体股份有限公司 | 多进程中的内存的管理方法 |
CN115801292A (zh) * | 2021-09-08 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 访问请求的鉴权方法和装置、存储介质及电子设备 |
-
2023
- 2023-11-21 CN CN202311556614.3A patent/CN117272287B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140040576A1 (en) * | 2012-08-02 | 2014-02-06 | International Business Machines Corporation | Requesting a memory space by a memory controller |
CN108133153A (zh) * | 2017-11-29 | 2018-06-08 | 北京京航计算通讯研究所 | 基于沙箱技术的云存储安全访问方法 |
US20220207154A1 (en) * | 2020-12-26 | 2022-06-30 | Intel Corporation | Dynamic mitigation of speculation vulnerabilities |
CN115801292A (zh) * | 2021-09-08 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 访问请求的鉴权方法和装置、存储介质及电子设备 |
CN115576716A (zh) * | 2022-10-28 | 2023-01-06 | 珠海一微半导体股份有限公司 | 一种基于多进程的内存管理方法 |
CN115629882A (zh) * | 2022-10-28 | 2023-01-20 | 珠海一微半导体股份有限公司 | 多进程中的内存的管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117272287B (zh) | 2024-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3017392B1 (en) | Process evaluation for malware detection in virtual machines | |
EP2959392B1 (en) | Memory introspection engine for integrity protection of virtual machines | |
EP3201820B1 (en) | Protecting application secrets from operating system attacks | |
CN111651778B (zh) | 基于risc-v指令架构的物理内存隔离方法 | |
EP2541453B1 (en) | System and method for malware protection using virtualization | |
US8464252B2 (en) | Per process virtual machines | |
US10310992B1 (en) | Mitigation of cyber attacks by pointer obfuscation | |
EP2784714B1 (en) | Method of preventing access to sensitive data of a computing device | |
JP2010517164A (ja) | オペレーティングシステム資源の保護 | |
US7647629B2 (en) | Hosted code runtime protection | |
US9158710B2 (en) | Page coloring with color inheritance for memory pages | |
US10803167B1 (en) | Systems and methods for executing application launchers | |
US20150379265A1 (en) | Systems And Methods For Preventing Code Injection In Virtualized Environments | |
EP3178032B1 (en) | Embedding secret data in code | |
US20180189415A1 (en) | Controlling access to one or more datasets of an operating system in use | |
US10929148B2 (en) | Executing services in containers | |
CN117272287B (zh) | 一种应用程序数据重定向方法及系统、存储介质 | |
KR101731920B1 (ko) | 이동 단말기 및 그것의 제어방법 | |
WO2024001642A1 (zh) | Usb设备的管控方法、云端设备、终端设备及存储介质 | |
WO2022128142A1 (en) | Apparatus and method for managing access to data memory by executable codes based on execution context |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |