【技术实现步骤摘要】
一种基于Linux预链接的文件基线防御方法、装置及存储设备
本专利技术实施例涉及计算机反病毒领域,尤其涉及一种基于Linux预链接的文件基线防御方法、装置及存储设备。
技术介绍
Linux系统中提供了预链接程序,即prelink,该程序用来预链接可执行文件,使可执行文件能够更快地执行,但使用预链接程序会导致可执行文件内容的修改,进而导致可执行文件的MD5变更,使基线信息频繁变更。而MD5的变更会导致无法辨别文件是否被恶意修改,在现有技术中,通常选择在可执行文件发生变化时,将可执行文件内容读入内存,进行预链接操作的逆操作,将可执行文件信息还原,再得到MD5,用来区分该文件是否被破坏。但是该方式存在以下几个问题:1.局限性较强,仅适用于Linux平台。如果prelink更新预链接的方式,无法继续适用;而且在安卓系统中,也存在类似的预链接技术,用于优化APP的启动速度,该方法不能适用。2.每次可执行文件发生变更时,都重新进行计算MD5,而此时的文件并未被真正的破坏,且每次计算都包含两次磁盘读写,效率较低。<...
【技术保护点】
1.一种基于Linux预链接的文件基线防御的方法,其特征在于:/n读取预链接配置文件;/n确定可执行文件;/n对可执行文件执行预链接;/n记录可执行文件的修改时间及修改内容;/n利用可执行文件未被修改的部分,计算并记录可执行文件MD5,判断可执行文件是否被恶意修改。/n
【技术特征摘要】
1.一种基于Linux预链接的文件基线防御的方法,其特征在于:
读取预链接配置文件;
确定可执行文件;
对可执行文件执行预链接;
记录可执行文件的修改时间及修改内容;
利用可执行文件未被修改的部分,计算并记录可执行文件MD5,判断可执行文件是否被恶意修改。
2.如权利要求1所述的方法,其特征在于,
确定可执行文件后,还包括:遍历可执行文件路径,并将可执行文件原始信息存储至内存中;
对可执行文件执行预链接后,还包括:将预链接后的可执行文件信息存储至内存中。
3.如权利要求1所述的方法,其特征在于:
将可执行文件未被修改的部分的名称,起始位置及偏移信息记录在数据表中。
4.如权利要求1所述的方法,其特征在于:
若可执行文件大于20M,截取文件部分内容,计算该部分的MD5。
5.一种基于Linux预链接的文件基线防御的装置,其特征在于:所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
读取预链接配置文件;
确定可执行文件;
对可执行文件执行预链接;
记录可执行文件的修改时间及修改内容;
利用可执行文件未被修改的部分,计算并记录可执行文件MD5,判断可执行文件是否...
【专利技术属性】
技术研发人员:刘一飞,徐翰隆,肖新光,王小丰,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。