[发明专利]一种ELF文件执行控制系统及方法

权利要求书

1.一种ELF文件执行控制系统，其特征在于，包括，

动态特征值搜集模块，用于搜集当前系统上的ELF文件的特征值，生成并保存到特征库中，该特征库中还配置有白名单库，所述白名单库记录可信任ELF文件的特征值，并将保存的当前系统上的ELF文件的特征值与白名单库中的特征值进行比较，获取当前系统可信任的ELF文件；

应用程序执行控制模块，用于ELF文件的策略下发和执行控制，其中策略下发是指通过获取特征库中可信任的ELF文件，然后再执行控制该可信任ELF文件对应的应用程序；

所述动态特征值搜集模块生成的特征库中，保存搜集的文件特征值的过程为：在搜集获取ELF文件后，判断该文件是否启用了Prelink，若启用Prelink则搜集Prelink之后的特征值和Prelink之前原始文件的特征值，将两特征值均保存到特征库中；未启用Prelink则直接保存该ELF文件的原始特征值，即当前特征值；相对应的，在确定当前系统可信任的ELF文件时，将当前系统上的ELF文件的原始特征值与白名单库中的特征值进行比较，来判断该ELF文件是否可信：存在则表明当前ELF文件的特征值为可信的，其对应的ELF文件为可信任文件，否则为不可信任文件；

所述动态特征值搜集模块还用于实时监控当前系统，当系统中的ELF文件发生变化时，根据特征值判断其是否可信，即将该ELF文件的原始特征值与特征库中白名单库记录的可信任特征值进行比较，相同则该ELF文件可信，否则为不可信；

所述系统中的ELF文件发生变化是指在应用程序执行过程中，对ELF文件进行创建、删除和/或修改的变化，相对应的，动态特征值搜集模块在其发生变化时自动判断其信任级别，确定其是否可信。

2.根据权利要求1所述的一种ELF文件执行控制系统，其特征在于，所述应用程序执行控制模块实现的策略下发具体为：首先从特征库获取当前文件系统信任的ELF文件特征值，若该ELF文件被Prelink修改，则加载修改后的文件特征值，否则加载修改之前的文件特征值。

3.根据权利要求1或2所述的一种ELF文件执行控制系统，其特征在于，还包括日志及结果反馈模块，该模块用于将应用程序执行过程中产生的日志及系统的操作日志及时通知到用户或者保存到操作系统的日志中，所述应用程序执行过程中产生的日志及系统的操作日志包括记录当前ELF文件控制过程的日志、记录系统中ELF文件变化过程的日志、记录ELF文件启动及加载过程的日志。

4.一种ELF文件执行控制方法，其特征在于，基于权利要求1-3任一所述的ELF文件执行控制系统，其实现步骤为，

步骤一、首先通过动态特征值搜集模块搜集当前系统上的ELF文件，获取其特征值，并通过与白名单库中记录的可信任特征值进行比较判断，获取当前系统上可信任的ELF文件的具体信息；

步骤二、通过获取的可信任的ELF文件的具体信息，由应用程序执行控制模块执行控制其对应的应用程序；

步骤三、通过日志及结果反馈模块将应用程序执行过程中产生的日志及系统的操作日志及时通知到用户或者保存到操作系统的日志中；

所述步骤一中，在搜集当前系统上的ELF文件后，判断该ELF文件是否可信的具体过程为：

首先判断该文件是否启用了Prelink，若启用Prelink则搜集Prelink之后的ELF文件的特征值和Prelink之前原始文件的特征值，并将这两个特征值和其文件名称的对应关系保存到特征库中；

若没有启用Prelink则直接搜集该ELF文件的原始特征值，即当前特征值，并将该文件特征值与文件名称的对应关系保存到特征库中；

在特征库中，查询白名单库中是否存在保存的原始特征值，若存在则表明当前特征值为可信的，其所对应的ELF文件是没有被篡改的，为可信任的ELF文件，可以被运行；

所述步骤二的具体过程为，

获取可信任ELF文件的具体信息：首先从特征库获取当前系统信任的ELF文件特征值，若该ELF文件被Prelink修改，则加载修改后的文件特征值，否则加载修改之前的文件特征值；

执行应用程序：首先判断系统是否允许装载该应用程序，判断依据为计算当前要装载的ELF文件的特征值，并与获取的可信任的ELF文件特征值进行比较，若是可信的则允许执行，若是不可信的则不允许执行。

5.根据权利要求4所述的一种ELF文件执行控制方法，其特征在于，所述步骤一中，还包括监控当前文件系统的步骤，其过程为：在应用程序在执行的过程中，对ELF文件发生创建、删除和/或修改的变化时，重新获取其特征值，并通过与白名单库中记录的可信任特征值进行比较，重新判断该ELF文件是否可信。