一种安全扫描的方法及装置技术领域
本发明涉及计算机技术领域,特别是涉及一种安全扫描的方法及装置。
背景技术
在Linux、Unix等操作系统中通常运行有多个进程。目前,在进程出现
运行时间长、运行错误等问题时,需要通过监控进程来分析问题的原因。
现有方案可以将strace和pstack工具结合起来使用,直接用来找到影响
进程运行时间的函数调用,再有针对地对相关函数进行代码分析和优化。其
中,strace工具可以跟踪进程使用的底层系统调用,可输出系统调用被执行
的时间点以及各个调用的耗时;pstack工具可以对指定PID(进程ID,Process
Identity)的进程输出函数调用栈。
PHP(超文本处理器,Hypertext Preprocessor)脚本是一种由PHP解释
器来执行的进程,然而现有strace和pstack仅仅能够提供PHP解释器的系统
调用信息,而无法提供PHP脚本的信息,因此,无法满足PHP脚本的分析
需求。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分
地解决上述问题的一种安全扫描的方法和装置。
依据本发明的一个方面,提供了一种安全扫描的方法,所述方法包括:
在PHP解释器中创建PHP跟踪程序;
利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编译得到的操作
的执行过程中的函数信息;
根据所述函数信息,检测与所述PHP解释器对应的处理器的使用率是
否小于预设阈值;
在检测到所述处理器的使用率小于所述预设阈值时,对与所述处理器对
应的终端进行安全扫描。
可选的,所述利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编
译得到的操作的执行过程中的函数信息,具体包括:
根据待监控信息对应变量相对预置全局变量的偏移量,获取所述变量的
地址;以及
利用所述PHP跟踪程序,监控所述变量的地址在所述操作的执行过程
中的信息。
可选的,在所述利用所述PHP跟踪程序跟踪所述PHP解释器针对进程
编译得到的操作的执行过程中的函数信息之前,所述方法还包括:
通过读取共享内存,判断所述进程对应的监控开关是否开启;
在所述进程对应的监控开关开启时,利用所述PHP跟踪程序跟踪所述
操作的执行过程中的函数信息;
将所述函数信息写入所述共享内存,由命令行工具从所述共享内存中读
取所述函数信息。
可选的,所述将所述函数信息写入所述共享内存的步骤,包括:
将所述函数信息写入所述共享内存中所述进程对应的内存映射文件。
可选的,所述方法还包括:
利用所述PHP跟踪程序获取所述PHP解释器针对进程编译得到的操作
的执行过程中的调用栈信息。
可选的,所述监控开关的开启和关闭由所述命令行工具控制。
依据本发明的另一方面,提供了一种安全扫描的装置,所述装置包括:
函数创建单元,用于在PHP解释器中创建PHP跟踪程序;
监控单元,用于利用所述PHP跟踪程序跟踪所述PHP解释器针对进程
编译得到的操作的执行过程中的函数信息;
检测单元,用于根据所述函数信息,检测与所述PHP解释器对应的处
理器的使用率是否小于预设阈值;
扫描单元,用于在检测到所述处理器的使用率小于所述预设阈值时,对
与所述处理器对应的终端进行安全扫描。
可选的,所述监控单元,具体包括:
地址获取子单元,用于根据待监控信息对应变量相对预置全局变量的偏
移量,获取所述变量的地址;以及
监控子单元,用于利用所述PHP跟踪程序,监控所述变量的地址在所
述操作的执行过程中的信息。
可选的,所述装置还包括:
判断单元,用于在所述利用所述PHP跟踪程序跟踪所述PHP解释器针
对进程编译得到的操作的执行过程中的函数信息之前,通过读取共享内存,
判断所述进程对应的监控开关是否开启;
所述监控单元,具体用于在所述进程对应的监控开关开启时,利用所述
PHP跟踪程序跟踪所述操作的执行过程中的函数信息;
则所述装置还包括:
写入单元,用于将所述函数信息写入所述共享内存,由命令行工具从所
述共享内存中读取所述函数信息。
可选的,所述写入单元,具体用于将所述函数信息写入所述共享内存中
所述进程对应的内存映射文件。
可选的,所述装置还包括:
栈信息获取单元,用于利用所述PHP跟踪程序获取所述PHP解释器针
对进程编译得到的操作的执行过程中的调用栈信息;。
可选的,所述监控开关的开启和关闭由所述命令行工具控制。
根据本发明实施例的一种安全扫描的方法及装置,在PHP解释器中创
建PHP跟踪程序;利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编
译得到的操作的执行过程中的函数信息,这里的函数信息可以为PHP函数
在执行过程中的所有函数信息,如函数名、函数参数、行号、文件名等信息,
并且,还可以在函数执行完成后获取函数返回值、函数调用时间等信息,这
样,可以实时获取操作的执行过程中的函数信息并进行输出,因此,能够方
便PHP脚本的开发人员快速定位PHP脚本的问题;而且还可以根据所述函
数信息,检测到与所述PHP解释器对应的处理器的使用率小于预设阈值时,
从正在运行的进程中选取并清除所述非必要进程,如此,还可以根据所述函
数信息实时监控处理器的使用率,在使用率小于所述预设阈值时,清除所述
非必要进程,从而使得所述处理器的工作效率得以提高。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技
术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它
目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本
领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,
而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示
相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种安全扫描的方法的第一种流程
图;
图2示出了根据本发明一个实施例的一种安全扫描的方法的第二种流程
图;
图3示出了根据本发明一个实施例的一种安全扫描的装置的结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示
了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不
应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地
理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参见图1,根据本发明一个实施例提供了一种安全扫描的方法,具体可
以包括如下步骤:
S101、在PHP解释器中创建PHP跟踪程序;以及
S102、利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编译得到
的操作的执行过程中的函数信息;
S103、根据所述函数信息,检测与所述PHP解释器对应的处理器的使
用率是否小于预设阈值;
S104、在检测到所述处理器的使用率小于所述预设阈值时,对与所述处
理器对应的终端进行安全扫描。
其中,PHP脚本在PHP解释器中一般会经过词法解析、语法解析、编
译生成中间代码和执行中间代码等步骤;其中,默认情况下执行中间代码的
步骤是通过zend/zend_vm_execute.h文件中的zend_execute函数调用执行完
成,对于所有的中间代码,默认实现是以按顺序执行,当遇到函数等情况时
跳出去执行,执行完后再回到跳出的位置继续执行。
在步骤S101中,在PHP解释器中创建PHP跟踪程序,所述PHP跟踪
程序具体为PHPtrace函数,PHPtrace函数具体是类strace的一个实现,不同
的是,strace用来追踪系统调用,而PHPtrace函数能够用来追踪PHP函数调
用,从而使得创建的所述PHP跟踪程序能够实时监控PHP函数调用信息。
在具体实施过程中,由于PHPtrace函数具体可以是类strace的一个实现,
从而可以直接根据strace的架构,来创建所述PHP跟踪程序。
接下来执行步骤S102,在该步骤中,利用所述PHP跟踪程序跟踪所述
PHP解释器针对进程编译得到的操作的执行过程中的函数信息。
在具体实施过程中,由于所述PHP跟踪程序具体是类strace的一个实现,
从而可以利用所述PHP跟踪程序来监控所述PHP解释器针对进程编译得到
的操作的执行过程中的函数信息。
具体的,通过所述PHP跟踪程序实时监控所述PHP解释器针对进程编
译得到的操作的执行过程中的所有函数调用信息,当然,也可以监控所述
PHP解释器中执行的其它脚本的所有函数调用信息,本申请不作具体限制。
本发明实施例的核心构思之一在于,在PHP解释器中创建PHP跟踪程
序,所述PHP跟踪程序具体为PHPtrace函数,PHPtrace函数具体可以是类
strace的一个实现,不同的是,strace用来追踪系统调用,而PHPtrace函数
能够用来追踪PHP函数调用,进而使得在创建所述PHP跟踪程序之后,利
用所述PHP跟踪程序所述操作(op,operation)的执行过程中的函数信息,
这里的函数信息可以为PHP函数在执行过程中的所有函数信息,如函数名、
函数参数、行号、文件名等信息,并且,还可以在函数执行完成后获取函数
返回值、函数调用时间等信息,这样,可以实时获取操作的执行过程中的函
数信息并输出,因此,能够方便PHP脚本的开发人员快速定位PHP脚本的
问题。
在实际应用中,可以将所述获取的各信息写入*data文件,并通过该*data
文件输出。当然,本发明实施例对具体的输出方式不加以限制。
接下来执行步骤S103、根据所述函数信息,检测与所述PHP解释器对
应的处理器的使用率是否小于预设阈值。
在具体实施过程中,在通过步骤S102获取到所述操作的执行过程中的
函数信息之后,在执行步骤S103过程中,由于所述操作是与所述处理器中
运行的进程相对应的,且所述函数信息中包括调用函数名称、数量等信息,
如此,可以通过分析所述函数信息,根据分析结果来获取所述处理器的使用
率,在检测所述处理器的使用率是否小于所述预设阈值,在小于所述预设阈
值时,执行步骤S104,在不小于所述预设阈值时,可以继续保持该状态。
具体来讲,所述预设阈值可以根据实际情况来设定,具体可以设置为小
于20%的数值,例如可以为19%、10%、5%等,以确保所述处理器的处于
空闲状态,其中,所述使用率的取值范围为0~100%。
例如,利用所述PHP跟踪程序检测到所述操作的执行过程中的函数信
息之后,对所述函数信息进行分析,在所述分析结果表征所述处理器的使用
率为8%时,若所述预设阈值为10%,由于8%<10%,则检测到所述处理器
的使用率小于所述预设阈值,执行步骤S104。
在检测到所述处理器的使用率小于所述预设阈值时,执行步骤S104,
对与所述处理器对应的终端进行安全扫描。
在具体实施过程中,在检测到所述使用率小于所述预设阈值时,利用所
述终端中安装的安全软件对所述终端进行安全扫描,所述安全软件例如可以
是360安全卫士等安全卫士软件。
具体来讲,在所述使用率小于所述预设阈值时,则可以判断所述处理器
正处于空闲状态,这时,通过所述安全软件对所述终端进行安全扫描,从而
能够提高所述处理器在空闲状态时的利用率。
例如,利用所述PHP跟踪程序检测到所述操作的执行过程中的函数信
息之后,对所述函数信息进行分析,在所述分析结果表征所述处理器的使用
率为8%时,若所述预设阈值为10%,由于8%<10%,则检测到所述处理器
的使用率小于所述预设阈值,则利用所述终端中安装的360安全软件进行安
全扫描。
在本发明的一种应用场景中,可以监控变量的地址在所述操作的执行过
程中的信息,以实现分析感兴趣信息的PHP代码的目的。相应地,所述利
用所述PHP跟踪程序跟踪所述操作的执行过程中的函数信息的步骤,具体
可以包括:根据待监控信息对应变量相对预置全局变量的偏移量,获取所述
变量的地址;以及利用所述PHP跟踪程序,监控所述变量的地址在所述操
作的执行过程中的信息。其中,所述待监控信息可以为各种感兴趣信息,例
如,可以使用GDB(GNU侦错器,GNU Debugger)获取PHP脚本进程的
一些核心的预置全局变量,并利用所述PHP跟踪程序,监控所述变量的地
址在所述操作的执行过程中的信息。
在本发明的另一种应用场景中,当PHP脚本的线上界面上显示有“没
有文件”、而文件夹中存在该文件时,可以利用所述PHP跟踪程序定位上述
文件不一致问题的原因。相应地,在监控所述操作的执行过程中的函数信息
中,发现函数opendir()的返回值报错了,而opendir()为用于打开目录
句柄的函数,故可以定位上述文件不一致问题的原因为:打开目录出现问题,
而不是文件夹中不存在文件。
当然,上述应用场景只是作为示例,本领域技术人员可以根据实际需求,
将本发明实施例应用于其它应用场景,如用于定位“某函数执行时间过长”
的原因,或者,用于定位“PHP脚本执行时间长”的原因等等,本发明实施
例对具体的应用场景不加以限制。
综上,本发明实施例将PHP解释器的操作执行函数替换为预置的监控
函数,并利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编译得到的
操作的执行过程中的函数信息,这里的函数信息可以为PHP函数在执行过
程中的所有函数信息,如函数名、函数参数、行号、文件名等信息,并且,
还可以在函数执行完成后获取函数返回值、函数调用时间等信息,这样,可
以实时获取操作的执行过程中的函数信息并进行输出,因此,能够方便PHP
脚本的开发人员快速定位PHP脚本的问题;而且还可以根据所述函数信息,
检测到与所述PHP解释器对应的处理器的使用率小于预设阈值时,从正在
运行的进程中选取并清除所述非必要进程,如此,还可以根据所述函数信息
实时监控处理器的使用率,在使用率小于所述预设阈值时,清除所述非必要
进程,从而使得所述处理器的工作效率得以提高。
参见图2,本发明一个实施例提供了一种安全扫描的方法,具体可以包
括如下步骤:
S201、在PHP解释器中创建PHP跟踪程序;
S202、通过读取共享内存,判断所述进程对应的监控开关是否开启;
S203、在所述进程对应的监控开关开启时,利用所述PHP跟踪程序跟
踪所述PHP解释器针对进程编译得到的操作的执行过程中的函数信息;
S204、将所述函数信息写入所述共享内存,由命令行工具从所述共享内
存中读取所述函数信息;
S205、根据所述函数信息,检测与所述PHP解释器对应的处理器的使
用率是否小于预设阈值;
S206、在检测到所述处理器的使用率小于所述预设阈值时,对与所述处
理器对应的终端进行安全扫描。
相对于图1所示实施例,本实施例在PHP解释器中创建PHP跟踪程序
之后,可以在共享内存中存储进程对应的监控开关,并通过读取共享内存判
断所述进程对应的监控开关是否开启,从而可以根据判断结果确定是否开启
或关闭监控功能;其中,在所述进程对应的监控开关开启时,可以开启监控
功能,并利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编译得到的
操作的执行过程中的函数信息;在所述进程对应的监控开关关闭时,可以关
闭监控功能。
在实际应用中,为存储操作系统中所有进程的监控开关,共享内存中可
以存储有预置数目的监控开关,如所述预置数目可以为216等等,当然,本
发明实施例对所述预置数目的具体数值不加以限制。
在本发明的一种可选实施例中,所述将所述函数信息写入所述共享内存
的步骤,具体可以包括:将所述函数信息写入所述共享内存中所述进程对应
的内存映射文件。通过内存映射文件可以保留一个地址空间的区域,同时将
物理存储器提交给此区域,只是内存文件映射的物理存储器来自一个已经存
在于磁盘上的文件,而非系统的页文件,而且在对该文件进行操作之前必须
首先对文件进行映射,就如同将整个文件从磁盘加载到内存。由此可以看出,
使用内存映射文件处理存储于磁盘上的文件时,将不必再对文件执行I/O(输
入/输出,Input/Output)操作,这意味着在对文件进行处理时将不必再为文
件申请并分配缓存,所有的文件缓存操作均由操作系统直接管理,由于取消
了将文件数据加载到内存、数据从内存到文件的回写以及释放内存块等步
骤,使得内存映射文件在处理大数据量的文件时能起到写入速度快和读取速
度快的作用。Mmap文件为内存映射文件的一种示例,当然本发明实施例对
具体的内存映射文件不加以限制。
在另一实施例中,本发明提供了一种安全扫描的方法,,所述方法还包
括:
利用所述PHP跟踪程序获取所述PHP解释器针对进程编译得到的操作
的执行过程中的调用栈信息。
相对于图1所示实施例,本实施例除了可以监控进程对应操作的执行过
程中的函数信息外,还可以利用所述PHP跟踪程序查找得到PHP解释器执
行的各操作执行过程中的调用栈信息,也即能够提供PHP解释器执行的各
操作执行过程中的调用栈信息的快照功能,相对于利用pstack直接得到PHP
解释器的调用栈信息仅仅能够反映PHP解释器的执行信息,例如:
pstack 3130
0x00000035ee6accc0in__nanosleep_nocancel()from/lib64/libc.so.6
0x00000035ee6acb50in sleep()from/lib64/libc.so.6
0x0000000000714f23in zif_sleep()
0x00000000008e36cd in execute_internal()
0x00007f27b38b2b77in phptrace_execute_core()from/home/renyongquan
/opt/php5.4.35/lib/php/extensions/debug-non-zts-20100525/phptrace.so
0x00007f27b38b2c04in phptrace_execute_internal()from/home/renyongq
uan/opt/php5.4.35/lib/php/extensions/debug-non-zts-20100525/phptrace.so
0x00000000008e44bc in zend_do_fcall_common_helper_SPEC()
3130为php-fpm的进程ID,通过pstack查看到时PHP解释器的调用栈,
然而对于一个PHP开发者来说,需要的是PHP解释器中PHP脚本的调用栈,
具体可以通过phptrace函数获取,具体如下:
./phptrace-p 3130-s
phptrace 0.1demo,published by infra webcore team
process id=3130
script_filename=/home/renyongquan/opt/nginx//webapp/block.php
[0x7f27b9a99dc8]sleep/home/renyongquan/opt/nginx/webapp/block.php:6
[0x7f27b9a99d08]say/home/renyongquan/opt/nginx/webapp/block.php:3
[0x7f27b9a99c50]run/home/renyongquan/opt/nginx/webapp/block.php:10
程序输出的第一行是版本信息,第二行显示了其进程PID,第三行是当
前执行的PHP脚本,从第四行开始就是调用栈信息,从上述信息可以看出,
最外层run函数调用了say函数,最终调用了sleep函数,如此,可以通过所
述PHPtrace函数能够获取PHP脚本的运行状态信息,因此能够方便PHP脚
本的开发人员快速定位PHP脚本的问题。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,
但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限
制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其
次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施
例,所涉及的动作并不一定是本发明实施例所必须的。
基于与上述方法相同的技术构思,本发明一个实施例提供了一种安全扫
描的装置,参见图3,所述装置包括:
函数创建单元301,用于在PHP解释器中创建PHP跟踪程序;
监控单元302,用于利用所述PHP跟踪程序跟踪所述PHP解释器针对
进程编译得到的操作的执行过程中的函数信息;
检测单元303,用于根据所述函数信息,检测与所述PHP解释器对应的
处理器的使用率是否小于预设阈值;
扫描单元304,用于在检测到所述处理器的使用率小于所述预设阈值时,
对与所述处理器对应的终端进行安全扫描。
具体的,监控单元302,具体包括:
地址获取子单元,用于根据待监控信息对应变量相对预置全局变量的偏
移量,获取所述变量的地址;以及
监控子单元,用于利用所述PHP跟踪程序,监控所述变量的地址在所
述操作的执行过程中的信息。
具体的,所述装置还包括:
判断单元,用于在所述利用所述PHP跟踪程序跟踪所述PHP解释器针
对进程编译得到的操作的执行过程中的函数信息之前,通过读取共享内存,
判断所述进程对应的监控开关是否开启;
监控单元302,具体用于在所述进程对应的监控开关开启时,利用所述
PHP跟踪程序跟踪所述操作的执行过程中的函数信息;
则所述装置还包括:
写入单元,用于将所述函数信息写入所述共享内存,由命令行工具从所
述共享内存中读取所述函数信息。
具体的,所述写入单元,具体用于将所述函数信息写入所述共享内存中
所述进程对应的内存映射文件。
具体的,所述装置还包括:
栈信息获取单元,用于利用所述PHP跟踪程序获取所述PHP解释器针
对进程编译得到的操作的执行过程中的调用栈信息。
具体的,所述监控开关的开启和关闭由所述命令行工具控制。
在实际应用中,所述装置和命令行工具还可以通过心跳机制进行通信,
其中,所述装置和命令行工具可以互相发送心跳信息,其中,当所述装置在
心跳周期内未接收命令行工具发送的心跳信息时,可以认为二者的通信连接
断开,因此可以关闭监控功能,以节省监控所需的资源。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较
简单,相关之处参见方法实施例的部分说明即可。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固
有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,
构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定
编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,
并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本
发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未
详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个
或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时
被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开
的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求
中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映
的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循
具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利
要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自
适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以
把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可
以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者
单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴
随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或
者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴
随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相
似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其
它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组
合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权
利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使
用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理
器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当
理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据
本发明实施例的安全扫描的方法和装置中的一些或者全部部件的一些或者
全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全
部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实
现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个
信号的形式。这样的信号可以从因特网平台上下载得到,或者在载体信号上
提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,
并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换
实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利
要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位
于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可
以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。
在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一
个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。
可将这些单词解释为名称。
本发明公开A1、一种安全扫描的方法,其特征在于,所述方法包括:
在PHP解释器中创建PHP跟踪程序;
利用所述PHP跟踪程序跟踪所述PHP解释器针对进程编译得到的操作
的执行过程中的函数信息;
根据所述函数信息,检测与所述PHP解释器对应的处理器的使用率是
否小于预设阈值;
在检测到所述处理器的使用率小于所述预设阈值时,对与所述处理器对
应的终端进行安全扫描。
A2、如A1所述的方法,其特征在于,所述利用所述PHP跟踪程序跟踪
所述PHP解释器针对进程编译得到的操作的执行过程中的函数信息,具体
包括:
根据待监控信息对应变量相对预置全局变量的偏移量,获取所述变量的
地址;以及
利用所述PHP跟踪程序,监控所述变量的地址在所述操作的执行过程
中的信息。
A3、如A1所述的方法,其特征在于,在所述利用所述PHP跟踪程序跟
踪所述PHP解释器针对进程编译得到的操作的执行过程中的函数信息之前,
所述方法还包括:
通过读取共享内存,判断所述进程对应的监控开关是否开启;
在所述进程对应的监控开关开启时,利用所述PHP跟踪程序跟踪所述
操作的执行过程中的函数信息;
将所述函数信息写入所述共享内存,由命令行工具从所述共享内存中读
取所述函数信息。
A4、如A3所述的方法,其特征在于,所述将所述函数信息写入所述共
享内存的步骤,包括:
将所述函数信息写入所述共享内存中所述进程对应的内存映射文件。
A5、如A1或A2或A3或A4所述的方法,其特征在于,所述方法还包
括:
利用所述PHP跟踪程序获取所述PHP解释器针对进程编译得到的操作
的执行过程中的调用栈信息。
A6、如A3所述的方法,其特征在于,所述监控开关的开启和关闭由所
述命令行工具控制。
B7、一种安全扫描的装置,其特征在于,所述装置包括:
函数创建单元,用于在PHP解释器中创建PHP跟踪程序;
监控单元,用于利用所述PHP跟踪程序跟踪所述PHP解释器针对进程
编译得到的操作的执行过程中的函数信息;
检测单元,用于根据所述函数信息,检测与所述PHP解释器对应的处
理器的使用率是否小于预设阈值;
扫描单元,用于在检测到所述处理器的使用率小于所述预设阈值时,对
与所述处理器对应的终端进行安全扫描。
B8、如B7所述的装置,其特征在于,所述监控单元,具体包括:
地址获取子单元,用于根据待监控信息对应变量相对预置全局变量的偏
移量,获取所述变量的地址;以及
监控子单元,用于利用所述PHP跟踪程序,监控所述变量的地址在所
述操作的执行过程中的信息。
B9、如B7所述的装置,其特征在于,所述装置还包括:
判断单元,用于在所述利用所述PHP跟踪程序跟踪所述PHP解释器针
对进程编译得到的操作的执行过程中的函数信息之前,通过读取共享内存,
判断所述进程对应的监控开关是否开启;
所述监控单元,具体用于在所述进程对应的监控开关开启时,利用所述
PHP跟踪程序跟踪所述操作的执行过程中的函数信息;
则所述装置还包括:
写入单元,用于将所述函数信息写入所述共享内存,由命令行工具从所
述共享内存中读取所述函数信息。
B10、如B9所述的装置,其特征在于,所述写入单元,具体用于将所
述函数信息写入所述共享内存中所述进程对应的内存映射文件。
B11、如B7或B8或B9或B10所述的装置,其特征在于,所述装置还
包括:
栈信息获取单元,用于利用所述PHP跟踪程序获取所述PHP解释器针
对进程编译得到的操作的执行过程中的调用栈信息。
B12、如B9所述的装置,其特征在于,所述监控开关的开启和关闭由
所述命令行工具控制。