【终端数据防泄密】【策略】钩子未挂上

2线-周庆喜发表于:2020年09月02日 14:37:51更新于:2020年09月15日 11:32:38

适配版本


产品:终端DLP

版本:版本无关

平台:平台无关

部署环境:单windows服务器


关键字

qq/微信无法拦截


内容

问题描述:qq/微信无法拦截、审计

排查流程:

                1.首先排查进程,驱动等是否正常的模块未安装  , 驱动未运行  ,  进程运行异常

                2.如果确认以上这些全部运行正常,在im发消息/文件的时候,还是无法拦截,需要确认dlp的钩子是否成功挂上了

                3.如何查看im进程是否挂上dlp的钩子

                   使用process explorer工具查看进程上所挂载的钩子,勾选下图中的dll选项

                   image.png

                   找到对应的进程,单击,下方就会展示所挂在的钩子信息

                  image.png

                  找到上图两个dll文件,即表示dlp成功挂上了钩子,如果没有,就说明钩子失效,无法拦截im的敏感动作

                 4.如果没有,请联系二线或研发解决