[发明专利]一种基于hook技术的Unix白名单控制方法

权利要求书

1.一种基于hook技术的Unix白名单控制方法，其特征在于：在Unix系统上增加过滤驱动模块，所述过滤驱动模块采用内核驱动的方式实现，由白名单主服务进程安装并启动运行；所述过滤驱动模块在整个操作系统上控制非白名单中的进程启动，控制非白名单中的动态库加载，控制非白名单中的驱动加载，控制二进制文件添加，控制白名单中的二进制文件被写入、覆盖、替换、删除和重命名，使操作系统保持干净、安全的运行环境。

2.根据权利要求1所述的基于hook技术的Unix白名单控制方法，其特征在于，所述白名单主服务进程采用Unix应用程序的方式实现，白名单主服务进程在初始化时安装过滤驱动模块，同时扫描操作系统上的所有ELF文件，将各个ELF文件的全路径和文件内容的SHA1值提交给过滤驱动模块，添加到驱动的白名单清单中，建立白名单清单链表。

3.根据权利要求1或2所述的基于hook技术的Unix白名单控制方法，其特征在于：当接收到进程启动，动态库加载和/或驱动加载访问请求时，所述过滤驱动模块首先获取访问请求的二进制文件全路径和SHA1值，然后遍历自身的白名单清单链表，判断ELF文件映射是否允许，如果是白名单清单中的二进制文件，则将访问传递到原系统调用，操作系统正常完成ELF文件映射；如果不是白名单清单中的二进制文件，则将访问过程阻止，操作系统映射ELF文件失败，从而使得对应的进程无法启动，动态库无法加载，驱动无法加载。

4.根据权利要求3所述的基于hook技术的Unix白名单控制方法，其特征在于：操作系统运行期间，所述过滤驱动模块拦截文件创建行为，禁止创建二进制文件；操作系统运行期间所有针对白名单清单链表中的二进制文件的写入、覆盖、替换、删除、重命名，都将被所述过滤驱动模块拦截后予以拒绝。

5.根据权利要求4所述的基于hook技术的Unix白名单控制方法，其特征在于，当接收到二进制文件的写入、覆盖、替换、删除、重命名访问请求时，所述过滤驱动模块首先获取访问请求的二进制文件全路径和SHA1值，然后遍历自身的白名单清单链表，如果访问请求针对的是白名单清单中的二进制文件，则将访问过程阻止，使二进制文件的写入、覆盖、替换、删除、重命名操作失败；如果访问请求针对的不是白名单清单中的二进制文件，则将访问传递到原系统调用，操作系统正常完成二进制文件的写入、覆盖、替换、删除、重命名操作。

6.根据权利要求2所述的基于hook技术的Unix白名单控制方法，其特征在于，为了安全起见，所述白名单主服务进程初次启动在操作系统刚刚安装/配置完成且网络断开的情况下进行；所述白名单主服务进程主动退出时，从当前操作系统中卸载过滤驱动模块和自身。