技术特征:
1.一种云主机对关机来源进行溯源的方法,其特征在于,包括:当云主机的预设内核api被调用时,拦截所述预设内核api的进程上下文;所述预设内核api包括所述云主机根据关机请求所需调用的内核api;当根据拦截的所述进程上下文确定所述进程上下文为所述云主机根据所述关机请求所产生的进程上下文时,从所述进程上下文中确定发送所述关机请求的进程源的进程信息。2.根据权利要求1所述的方法,其特征在于,所述预设内核api包括:ntshutdownsystem内核api、ntinitiatepoweraction内核api、和ntusercallnoparam内核api。3.根据权利要求2所述的方法,其特征在于,所述当根据拦截的所述进程上下文确定所述进程上下文为所述云主机根据所述关机请求所产生的进程上下文时,从所述进程上下文中确定发送所述关机请求的进程源的进程信息包括:当根据拦截的所述进程上下文确定所述进程上下文为所述云主机根据所述关机请求所产生的进程上下文时,从所述进程上下文中确定首个产生的进程上下文作为源进程上下文;从所述源进程上下文中确定发送所述关机请求的进程源的进程信息。4.根据权利要求3所述的方法,其特征在于,所述进程信息包括:进程对象、进程id、进程名称和进程路径。5.根据权利要求1所述的方法,其特征在于,在所述当云主机的预设内核api被调用时,拦截所述内核api的进程上下文之前,还包括:通过infinityhook库对所述预设内核api进行关联;所述当云主机的预设内核api被调用时,拦截所述预设内核api的进程上下文包括:当云主机的预设内核api被调用时,通过所述infinityhook库拦截所述预设内核api的进程上下文。6.根据权利要求1所述的方法,其特征在于,在所述当根据拦截的所述进程上下文确定所述进程上下文为所述云主机根据所述关机请求所产生的进程上下文时,从所述进程上下文中确定发送所述关机请求的进程源的进程信息之后,还包括:将所述进程信息上传至后台存储。7.根据权利要求1所述的方法,其特征在于,在所述当根据拦截的所述进程上下文确定所述进程上下文为所述云主机根据所述关机请求所产生的进程上下文时,从所述进程上下文中确定发送所述关机请求的进程源的进程信息之后,还包括:继续调用被拦截的所述预设内核api。8.一种云主机对关机来源进行溯源的装置,其特征在于,包括:拦截模块,用于当云主机的预设内核api被调用时,拦截所述内核api的进程上下文;所述预设内核api包括所述云主机根据关机请求所需调用的内核api;溯源模块,用于当根据拦截的所述进程上下文确定所述进程上下文为所述云主机根据所述关机请求所产生的进程上下文时,从所述进程上下文中确定发送所述关机请求的进程源的进程信息。9.一种云主机对关机来源进行溯源的设备,其特征在于,所述设备包括:
存储器:用于存储计算机程序;处理器:用于执行所述计算机程序时实现如权利要求1至7任一项所述云主机对关机来源进行溯源的方法的步骤。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述云主机对关机来源进行溯源的方法的步骤。
技术总结
本发明公开了一种云主机对关机来源进行溯源的方法,包括当云主机的预设内核API被调用时,拦截内核API的进程上下文;预设内核API包括云主机根据关机请求所需调用的内核API;当根据拦截的进程上下文确定进程上下文为云主机根据关机请求所产生的进程上下文时,从进程上下文中确定发送关机请求的进程源的进程信息。通过对在关机时会被调用的内核API进行监控,并在被监控的内核API内调用时,根据其进程上下文进行溯源,从而确定出发送关机请求的进程源,以便于维护人员对云主机的调度。本发明还提供了一种云主机对关机来源进行溯源的装置,一种云主机对关机来源进行溯源的设备以及一种计算机可读存储介质,同样具有上述有益效果。效果。效果。
技术研发人员:甘锐 李广斌 潘江峰 彭寿林 郭月丰
受保护的技术使用者:杭州雾联科技有限公司
技术研发日:2021.09.07
技术公布日:2021/12/2
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
