[发明专利]一种Linux下基于内核的防勒索病毒的方法

权利要求书

1.一种Linux下基于内核的防勒索病毒的方法，其包括一管理中心以及若干个被管理端，所述被管理端均采用Linux操作系统，其特征在于，

其包括以下步骤：

所述管理中心给所述被管理端提供白名单，所述白名单以配置文件的形式记录所述管理中心允许执行的可执行对象的清单；所述可执行对象包括可执行程序、动态库和内核程序；

所述被管理端均安装有内核监控程序，所述内核监控程序通过通过Kprobe技术挂钩特定内核函数，并获得所述特定内核函数的参数，所述特定内核函数均是Linux操作系统下加载可执行对象时必须调用的内核函数；

所述内核监控程序将从所述特定内核函数中获取的参数与所述白名单中的可执行对象清单进行比较，若其在所述白名单中，则所述特定内核函数正常执行；反之，则所述特定内核函数返回空值或非法值，以阻止所述可执行对象的加载；

所述被管理端向所述管理中心上传拦截日志，所述拦截日志记载所述可执行对象的信息以及是否拦截的情况。

2.根据权利要求1所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：针对可执行程序，所述特定内核函数为load_elf_phdrs，所述步骤1）中，通过Kprobe技术拦截该load_elf_phdrs函数。

3.根据权利要求1所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：针对内核程序，所述特定内核函数为init_module和kernel_read_file_from_fd，所述步骤1）中，通过Kprobe技术拦截该kernel_read_file_from_fd函数，通过HOOK挂钩init_module函数的方式拦截init_module函数。

4.根据权利要求1所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：针对动态库，所述特定内核函数为vm_mmap，所述步骤1）中，通过Kprobe技术拦截该vm_mmap函数。

5.根据权利要求4所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：vm_mmap函数是可执行程序、动态库加载的经过点，以及map方式文件读写的经过点；拦截该vm_mmap函数采用如下步骤：

1.1）获取vm_mmap函数的参数；

1.2）如获得的vm_mmap函数的参数中，其第四个参数是不带可执行属性，则退出拦截并不执行步骤2），反之则继续；

1.3）如获得的vm_mmap函数的参数中，其第二个参数为零，则退出拦截并不执行步骤2），反之则继续。

6.根据权利要求1所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：所述白名单以哈希表的方式进行管理，其通过sm3哈希算法对所述可执行对象的参数进行运算，以获得唯一的32字节值作为该可执行对象的ID记录在所述白名单或黑名单中。

7.根据权利要求6所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：所述可执行对象的参数包括模块入口地址、文件设定长度内容和模块映像大小其中之一或多个。

8.根据权利要求7所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：所述白名单使用配置文件描述，所述配置文件通过sm4算法加密。

9.根据权利要求8所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：所述配置文件由所述管理中心通过第三方经过病毒查杀后生成的。

10.根据权利要求1所述的一种Linux下基于内核的防勒索病毒的方法，其特征在于：还包括一防止所述内核监控程序被卸载的方法；其包括以下步骤：

5）通过Kprobe技术拦截find_module函数，通过分析find_module函数的加载参数以获得其卸载的所述可执行对象的信息；

6）判断步骤5）中得到的所述可执行对象的信息是否为所述内核监控程序；如是，则find_module函数返回空值，阻止卸载所述可执行对象；反之，则find_module函数继续执行。