【技术实现步骤摘要】
本专利技术涉及安全防护,具体涉及一种基于内核的防勒索病毒方法。
技术介绍
1、linux系统中在现有技术中有通过对照白名单进行过滤防勒索病毒技术,比如具体的,设置一个管理中心和多个被管理端,被管理端均采用linux操作系统。管理中心为被管理端提供白名单配置文件,记录允许执行的可执行对象清单,包括程序、动态库和内核模块,并使用哈希算法(如sm3)确保唯一标识;被管理端安装有内核监控程序,利用kprobe技术挂接linux内核中加载可执行对象时所必需调用的关键函数,例如针对不同类型的可执行对象:load_elf_phdrs(可执行程序)、init_module和kernel_read_file_from_fd(内核模块)、vm_mmap(动态库和部分可执行程序/文件读写操作),内核监控程序在这些特定内核函数被调用时获取参数并与白名单中的清单比较。若不在白名单中,则阻止加载,返回空值或非法值;否则正常执行加载。但这类技术执行效率非常低,比如该技术白名单以哈希表的方式进行管理,其通过sm3哈希算法对可执行对象的参数进行运算,以获得唯一的32字节...
【技术保护点】
1.基于内核的防勒索病毒方法,其特征在于,包括步骤,
2.根据权利要求1所述的基于内核的防勒索病毒方法,其特征在于,所述待检测可执行对象的内核检测信息全部项目包括:ELF头部、程序头表、节头表、入口点地址、动态链接信息、符号表和重定位信息。
3.根据权利要求1所述的基于内核的防勒索病毒方法,其特征在于,所述获取待检测可执行对象的内核检测信息具体包括使用 `readelf` 或 `objdump` 可以读取并解析ELF头部。
4.根据权利要求1所述的基于内核的防勒索病毒方法,其特征在于,所述获取待检测可执行对象的内核检测信息具体包括通...
【技术特征摘要】
1.基于内核的防勒索病毒方法,其特征在于,包括步骤,
2.根据权利要求1所述的基于内核的防勒索病毒方法,其特征在于,所述待检测可执行对象的内核检测信息全部项目包括:elf头部、程序头表、节头表、入口点地址、动态链接信息、符号表和重定位信息。
3.根据权利要求1所述的基于内核的防勒索病毒方法,其特征在于,所述获取待检测可执行对象的内核检测信息具体包括使用 `readelf` 或 `objdump` 可以读取并解析elf头部。
4.根据权利要求1所述的基于内核的防勒索病毒方法,其特征在于,所述获取待检测可执行对象的内核检测信息具体包括通过 `readelf` 的 `-l`...
【专利技术属性】
技术研发人员:吴正兴,程彩云,贺鹏,
申请(专利权)人:广州锦高信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。