1.一种基于hook技术的Unix白名单控制方法,其特征在于:在Unix系统上增加过滤驱动模块,所述过滤驱动模块采用内核驱动的方式实现,由白名单主服务进程安装并启动运行;所述过滤驱动模块在整个操作系统上控制非白名单中的进程启动,控制非白名单中的动态库加载,控制非白名单中的驱动加载,控制二进制文件添加,控制白名单中的二进制文件被写入、覆盖、替换、删除和重命名,使操作系统保持干净、安全的运行环境。
2.根据权利要求1所述的基于hook技术的Unix白名单控制方法,其特征在于,所述白名单主服务进程采用Unix应用程序的方式实现,白名单主服务进程在初始化时安装过滤驱动模块,同时扫描操作系统上的所有ELF文件,将各个ELF文件的全路径和文件内容的SHA1值提交给过滤驱动模块,添加到驱动的白名单清单中,建立白名单清单链表。
3.根据权利要求1或2所述的基于hook技术的Unix白名单控制方法,其特征在于:当接收到进程启动,动态库加载和/或驱动加载访问请求时,所述过滤驱动模块首先获取访问请求的二进制文件全路径和SHA1值,然后遍历自身的白名单清单链表,判断ELF文件映射是否允许,如果是白名单清单中的二进制文件,则将访问传递到原系统调用,操作系统正常完成ELF文件映射;如果不是白名单清单中的二进制文件,则将访问过程阻止,操作系统映射ELF文件失败,从而使得对应的进程无法启动,动态库无法加载,驱动无法加载。
4.根据权利要求3所述的基于hook技术的Unix白名单控制方法,其特征在于:操作系统运行期间,所述过滤驱动模块拦截文件创建行为,禁止创建二进制文件;操作系统运行期间所有针对白名单清单链表中的二进制文件的写入、覆盖、替换、删除、重命名,都将被所述过滤驱动模块拦截后予以拒绝。
5.根据权利要求4所述的基于hook技术的Unix白名单控制方法,其特征在于,当接收到二进制文件的写入、覆盖、替换、删除、重命名访问请求时,所述过滤驱动模块首先获取访问请求的二进制文件全路径和SHA1值,然后遍历自身的白名单清单链表,如果访问请求针对的是白名单清单中的二进制文件,则将访问过程阻止,使二进制文件的写入、覆盖、替换、删除、重命名操作失败;如果访问请求针对的不是白名单清单中的二进制文件,则将访问传递到原系统调用,操作系统正常完成二进制文件的写入、覆盖、替换、删除、重命名操作。
6.根据权利要求2所述的基于hook技术的Unix白名单控制方法,其特征在于,为了安全起见,所述白名单主服务进程初次启动在操作系统刚刚安装/配置完成且网络断开的情况下进行;所述白名单主服务进程主动退出时,从当前操作系统中卸载过滤驱动模块和自身。