Система мониторинга запущенных процессов

 

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов рабочих станций и серверов. Технический результат заключается в повышении уровня защищенности информационных ресурсов рабочих станций и серверов. Система содержит блок запроса приложением списка запущенных процессов, блок запроса списка запущенных процессов у ядра ОС, блок ядра ОС, блок формирования списка отображаемых запущенных процессов, блок хранения списка запрещенных для отображения процессов, блок сигнализации о запросе списка запущенных процессов, блок формирования адреса возврата списка запущенных процессов. 2 ил.

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов рабочих станций и серверов.

Известна система мониторинга запущенных процессов, встроенная в операционную систему Windows NT Server 4.0 (см. кн. Валда Хиллей “Секреты Windows NT Server 4.0”. - К. “Диалектика”, 1997). Она представляет собою программный комплекс, входящий в состав операционной системы. Система решает задачу отображения списка запущенных на компьютере процессов по запросу пользователя из приложений, позволяющих запрашивать у операционной системы и отображать на мониторе пользователя список запущенных процессов, например из оболочки Far.

Наиболее близкой по технической сущности к заявляемой (прототипом) является система мониторинга запущенных процессов, встроенная в операционные системы Windows 9х (см. http://msdn.microsoft.com).

Система мониторинга запущенных процессов представлена на фиг.1. Система мониторинга запущенных процессов включает блок запроса приложением списка запущенных процессов 1, блок запроса списка запущенных процессов у ядра ОС 2, блок ядра ОС 3, причем выход блока запроса приложением списка запущенных процессов 1 соединен с первым входом блока запроса списка запущенных процессов у ядра ОС 2, первый выход которого - со входом блока запроса приложением списка запущенных процессов 1, второй выход - со входом блока ядра ОС 3, выход которого - со вторым входом блока запроса списка запущенных процессов у ядра ОС 2.

Работает система мониторинга запущенных процессов следующим образом. Блок 1 запрашивает у ОС список запущенных процессов (блок 1 - это монитор запущенных процессов, который входит в состав многих приложений, например, в оболочку Far). Этот запрос поступает в блок 2, который, например, для семейства ОС Windows представляет собою системную динамическую библиотеку - Kernell 32.dll. Блок 2 формирует функцию запроса списка запущенных процессов у блока 3 (для ОС Windows - функцию Process 32.Next). Одновременно в блоке 2 формируется адрес возврата списка - в блок 1. Блок 3 через блок 2 возвращает в блок 1 список запущенных процессов.

Недостатком системы является то, что из приложения (в том числе, из оболочки Far) по запросу пользователя она позволяет не только отображать на мониторе рабочей станции запущенные на компьютере процессы, но и останавливать выполнение отображенных процессов по команде пользователя из соответствующего приложения. Среди запущенных процессов могут находиться процессы (программы), которые должны быть недоступны пользователю для приостановки их функционирования, к таким процессам, например, может относиться программа защиты информации, установленная на рабочей станции (в противном случае, установленная на компьютере система защиты будет легко преодолима злоумышленником).

Целью изобретения является повышение уровня защищенности информационных ресурсов рабочих станций и серверов, за счет реализации возможности отображения (как следствие, возможности остановки их функционирования пользователем) системным монитором не всех запущенных процессов, а лишь разрешенных ответственным за вопросы безопасности лицом для отображения процессов.

Достигается это тем, что в систему мониторинга запущенных процессов, содержащую блок запроса приложением списка запущенных процессов, блок запроса списка запущенных процессов у ядра ОС, блок ядра ОС, причем выход блока запроса приложением списка запущенных процессов соединен с первым входом блока запроса списка запущенных процессов у ядра ОС, выход блока ядра ОС - со вторым входом блока запроса списка запущенных процессов у ядра ОС, дополнительно введены: блок формирования списка отображаемых запущенных процессов, блок хранения списка запрещенных для отображения процессов, блок сигнализации о запросе списка запущенных процессов, блок формирования адреса возврата списка запущенных процессов, причем первый выход блока запроса списка запущенных процессов у ядра ОС соединен со входом блока сигнализации о запросе списка запущенных процессов, первый выход которого - со входом блока ядра ОС, второй выход - со вторым входом блока формирования списка отображаемых запущенных процессов, первый вход которого - со вторым выходом блока запроса списка запущенных процессов у ядра ОС, третий вход - с выходом блока хранения списка запрещенных для отображения процессов, первый вход которого - со входом задания списка запрещенных для отображения процессов, второй вход - со вторым выходом блока формирования списка отображаемых запущенных процессов, первый выход которого - со входом блока запроса приложением списка запущенных процессов, вход/выход - с первым входом/выходом блока формирования адреса возврата списка запущенных процессов, второй вход/выход которого - с входом /выходом блока запроса списка запущенных процессов у ядра ОС.

Схема системы мониторинга запущенных процессов приведена на фиг.2. Она содержит блок запроса приложением списка запущенных процессов 1, блок запроса списка запущенных процессов у ядра ОС 1, блок формирования списка отображаемых запущенных процессов 3, блок хранения списка запрещенных для отображения процессов 4, блок сигнализации о запросе списка запущенных процессов 5, блок формирования адреса возврата списка запущенных процессов 6, блок ядра ОС 7, причем выход блока запроса приложением списка запущенных процессов 1 соединен с первым входом блока запроса списка запущенных процессов у ядра ОС 2, выход блока ядра ОС 7 - со вторым входом блока запроса списка запущенных процессов у ядра ОС 2, первый выход блока запроса списка запущенных процессов у ядра ОС 2 соединен со входом блока сигнализации о запросе списка запущенных процессов 5, первый выход которого - со входом блока ядра ОС 7, второй выход - со вторым входом блока формирования списка отображаемых запущенных процессов 3, первый вход которого - со вторым выходом блока запроса списка запущенных процессов у ядра ОС 2, третий вход - с выходом блока хранения списка запрещенных для отображения процессов 4, первый вход которого - со входом задания списка запрещенных для отображения процессов 8, второй вход - со вторым выходом блока формирования списка отображаемых запущенных процессов 3, первый выход которого - со входом блока запроса приложением списка запущенных процессов 1, третий выход - с первым входом/выходом блока формирования адреса возврата списка запущенных процессов 6, второй вход/выход которого - со входом/выходом блока запроса списка запущенных процессов у ядра ОС 2.

Работает система мониторинга запущенных процессов следующим образом. По запросу пользователя блок 1 (например, оболочка Far) формирует запрос у операционной системы (ОС) на отображение списка запущенных процессов. Данный запрос поступает в блок 2 (системную динамическую библиотеку (kernell 32.dll), где данным запросом формируется адрес возврата списка запущенных процессов (в вызвавшее запрос приложение). Блок 2 формирует запрос у блока 7 (ядра ОС) на получение списка запущенных на компьютере процессов (функция process 32. Next). Отметим, что подобный запрос в ОС Windows 9xo ОС (блок 7) может воспринять только от системной библиотеки kernell 32.dll (заменить блок 2 на собственный обработчик запросов невозможно). Запрос на отображение списка запущенных процессов (функция process 32. Next) поступает в блок 7 через блок 5, который анализирует функции, выдаваемые в блок 7 блоком 2, и при выявлении запроса блоком 2 списка запущенных процессов сигнализирует об этом блок 3. Блок 3 через блок 6 запрашивает у блока 2 адрес возврата списка запущенных процессов (адрес возврата списка блоку 1 формируется в блоке 3) и формирует в блоке 2 новый адрес возврата списка запущенных процессов (подменяет адрес возврата списка блоку 1 (приложению) на собственный адрес возврата). Получив из блока 7 список запущенных процессов, блок 2 возвращает его не в блок 1 (приложению), а в блок 3. Со входа 8 лицом, ответственным за безопасность системы, в блоке 4 формируется список процессов, которые не должны отображаться как запущенные процессы системой при запросе списка пользователем. Получив список от блока 2, блок 3 запрашивает у блока 4 список процессов, запрещенный для отображения, и корректирует список запущенных процессов, полученный от блока 2, в части удаления из него процессов, входящих в запрещенные для отображения. Откорректированный список блоком 3 возвращается в блок 1 (соответственно, на мониторе пользователя отображается скорректированный - безопасный список).

Таким образом, предлагаемая система позволяет корректировать отображаемый по запросу пользователя список запущенных процессов, исключая из этого списка критичные, с точки зрения безопасности системы, процессы. Как следствие, предотвращается возможность приостановки пользователя выполняемых системой критичных процессов из приложений, имеющих данные опции.

Блоки, используемые в заявляемой системе мониторинга запущенных процессов, могут быть реализованы следующим образом.

Блоки 1, 2, 7 реализуются так же, как в прототипе (блок 1 - это приложение, в состав которого включена опция запроса пользователем списка запущенных процессов, например, оболочка Far, блок 2 - это системная динамическая библиотека kernel 32.dll, блок 7 - это собственно ядро ОС).

Блок 3 - это блок, выполненный в виде подключаемой динамической библиотеки, в задачи которого входит после получения сигнала от блока 5 получение адреса возврата в блок 1 через блок 6, выдача своего адреса возврата в блок 6, получение списка из блока 2, списка из блока 4, анализ и корректировка списка, полученного из блока 2 (построчное сравнение записей и удаление тех, которые запрещены, выдача скорректированного списка в блок 1.

Блок 5 - это анализатор функций (сравниваются соответствующие поля команд, формируемых блоком 2, на совпадение с заданным эталоном).

Блок 6 - это модуль чтения/записи адреса возврата по соответствующей команде.

Блоки реализуются как программные модули.

Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических принципах реализации основ вычислительной техники и программирования.

К достоинствам предлагаемой системы мониторинга запущенных процессов может быть отнесено следующее. Система позволяет корректировать отображаемый по запросу пользователя список запущенных процессов, исключая из этого списка критичные, с точки зрения безопасности системы, процессы. Как следствие, предотвращается возможность приостановки пользователя выполняемых системой критичных процессов из приложений, имеющих данные опции, что обеспечивает повышение защищенности компьютеров.

Формула изобретения

Система мониторинга запущенных процессов, содержащая блок запроса приложением списка запущенных процессов, блок запроса списка запущенных процессов у ядра ОС, блок ядра ОС, причем выход блока запроса приложением списка запущенных процессов соединен с первым входом блока запроса списка запущенных процессов у ядра ОС, выход блока ядра ОС - со вторым входом блока запроса списка запущенных процессов у ядра ОС, отличающаяся тем, что дополнительно введены блок формирования списка отображаемых запущенных процессов, блок хранения списка запрещенных для отображения процессов, блок сигнализации о запросе списка запущенных процессов, блок формирования адреса возврата списка запущенных процессов, причем первый выход блока запроса списка запущенных процессов у ядра ОС соединен со входом блока сигнализации о запросе списка запущенных процессов, первый выход которого - со входом блока ядра ОС, второй выход - со вторым входом блока формирования списка отображаемых запущенных процессов, первый вход которого - со вторым выходом блока запроса списка запущенных процессов у ядра ОС, третий вход - с выходом блока хранения списка запрещенных для отображения процессов, первый вход которого - со входом задания списка запрещенных для отображения процессов, второй вход - со вторым выходом блока формирования списка отображаемых запущенных процессов, первый выход которого - со входом блока запроса приложением списка запущенных процессов, вход/выход - с первым входом/выходом блока формирования адреса возврата списка запущенных процессов, второй вход/выход которого - с входом/выходом блока запроса списка запущенных процессов у ядра ОС.

РИСУНКИ

Рисунок 1, Рисунок 2