CN106203073A - 一种基于文件系统过滤驱动的Windows白名单控制方法 - Google Patents
一种基于文件系统过滤驱动的Windows白名单控制方法 Download PDFInfo
- Publication number
- CN106203073A CN106203073A CN201610548765.8A CN201610548765A CN106203073A CN 106203073 A CN106203073 A CN 106203073A CN 201610548765 A CN201610548765 A CN 201610548765A CN 106203073 A CN106203073 A CN 106203073A
- Authority
- CN
- China
- Prior art keywords
- white list
- file
- filter driver
- file system
- windows
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Abstract
本发明公开了一种基于文件系统过滤驱动的Windows白名单控制方法,所述方法通过在Windows NTFS文件系统上面增加过滤驱动,在整个操作系统上控制非白名单中的进程启动,控制非白名单中的动态库加载,控制非白名单中的驱动加载,控制二进制文件添加,控制白名单中的二进制文件被写入、覆盖、替换、删除和重命名。本发明具有技术鲜明、部署简单的特点,在用户使用方面增加了极大的便利性。白名单主服务进程在安装文件系统过滤驱动之后,自动扫描当前系统上的所有二进制文件,建立白名单清单链表,不需要用户进行任何干预。
Description
技术领域
本发明涉及系统注册表防护技术领域,具体涉及一种基于文件系统过滤驱动的Windows白名单控制方法。
背景技术
随着云计算、大数据等新型技术的发展,对云主机和服务器的安全计算环境要求越来越高。安全的计算环境是云计算发展的基础,没有安全的计算环境就不能保证云端数据的安全性,没有安全的计算环境就不能保证云端业务的可持续性。软件白名单机制是构建安全计算环境的重要措施。一种基于文件系统过滤驱动的Windows白名单控制方法,有效的解决了Windows系统上软件白名单技术的实现机制及如何部署的问题。Windows系统上可运行的二进制文件,通常有三种方式:
1、EXE文件,可独立运行的可执行文件;
2、DLL文件,必须由EXE文件加载到自身的进程地址空间才能运行的动态库文件;
3、SYS文件,由系统进程加载到内核空间运行的驱动文件。
如果黑客或内部人员新增、修改、替换这三种类型文件中的任意一个,造成当前操作系统存在恶意文件,计算环境将不再安全。
发明内容
本发明要解决的技术问题是:本发明针对以上问题,提供一种基于文件系统过滤驱动的Windows白名单控制方法,可以禁止非白名单清单中的进程启动,禁止非白名单清单中的动态库和驱动加载,同时保证白名单清单中的进程文件、动态库文件和驱动文件不被非法写入、覆盖、替换、删除和重命名,保证当前操作系统不再新建二进制文件,从而建立一个安全的操作系统计算环境。
本发明所采用的技术方案为:
一种基于文件系统过滤驱动的Windows白名单控制方法,所述方法通过在WindowsNTFS文件系统上面增加过滤驱动,在整个操作系统上控制非白名单中的进程启动,控制非白名单中的动态库加载,控制非白名单中的驱动加载,控制二进制文件添加,控制白名单中的二进制文件被写入、覆盖、替换、删除和重命名,使操作系统保持干净、安全的运行环境。
所述方法涉及的模块包括:(1)文件系统过滤驱动模块、(2)白名单主服务进程模块,其中:
(1)文件系统过滤驱动模块:采用内核驱动的方式实现,由白名单主服务进程模块安装,随操作系统运行自动运行;
在操作系统运行期间,发生PE文件映射行为时,自动进入文件系统过滤驱动模块;该模块将遍历自身的白名单清单链表,判断该PE文件映射是否允许,如果是白名单清单中的二进制文件,则将此访问传递到NTFS文件系统,操作系统正常完成此映射;如果不是白名单清单中的二进制文件,则将此访问过程阻止,操作系统映射PE文件失败,从而使得对应的进程无法启动、动态库无法加载、驱动无法加载;
(2)白名单主服务进程模块:白名单主服务进程模块采用Windows应用程序的方式实现,白名单主服务进程在初始化时安装文件系统过滤驱动模块,同时扫描操作系统上的所有PE文件,将各个PE文件的全路径和文件内容的SHA1值添加到驱动的白名单清单中。
操作系统运行期间,所述文件系统过滤驱动模块拦截文件创建行为,禁止创建二进制文件,操作系统运行期间所有针对白名单清单链表中的二进制文件的写入、覆盖、替换、删除、重命名,都将被文件系统过滤驱动拦截后予以拒绝。
白名单主服务进程初次启动在操作系统刚刚安装/配置完成且网络断开的情况下进行。
白名单主服务进程主动退出时,自动从当前操作系统中卸载文件系统过滤驱动模块和自身白名单主服务进程模块,白名单控制方法的保护失效,从而将用户的操作系统运行环境复原。
SHA1安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准(DigitalSignature Standard DSS)里面定义的数字签名算法(Digital Signature AlgorithmDSA)。对于长度小于2-64位的消息,SHA1会产生一个160位的消息摘要。当接收到消息的时候,这个消息摘要可以用来验证数据的完整性。在传输的过程中,数据很可能会发生变化,那么这时候就会产生不同的消息摘要。HA1有如下特性:不可以从消息摘要中复原信息;两个不同的消息不会产生同样的消息摘要。
本发明的有益效果为:
本发明具有技术鲜明、部署简单的特点,通过使用Windows操作系统标准的文件系统过滤驱动技术,拦截进程启动、动态库加载、驱动加载、二进制文件创建、二进制文件写入、二进制文件删除、二进制文件重命名,可以全面增强Windows操作系统的安全性。在用户使用方面增加了极大的便利性。白名单主服务进程在安装文件系统过滤驱动之后,自动扫描当前系统上的所有二进制文件,建立白名单清单链表,不需要用户进行任何干预。
附图说明
图1为本发明二进制文件启动/加载保护流程图;
图2为本发明二进制文件写入等破坏性操作保护流程图。
具体实施方式
下面结合说明书附图,根据具体实施方式对本发明进一步说明:
实施例1:
一种基于文件系统过滤驱动的Windows白名单控制方法,所述方法通过在WindowsNTFS文件系统上面增加过滤驱动,在整个操作系统上控制非白名单中的进程启动,控制非白名单中的动态库加载,控制非白名单中的驱动加载,控制二进制文件添加,控制白名单中的二进制文件被写入、覆盖、替换、删除和重命名,使操作系统保持干净、安全的运行环境。
可以禁止非白名单清单中的进程启动,禁止非白名单清单中的动态库和驱动加载,同时保证白名单清单中的进程文件、动态库文件和驱动文件不被非法写入、覆盖、替换、删除和重命名,保证当前操作系统不再新建二进制文件,从而建立一个安全的操作系统计算环境。
实施例2
在实施例1的基础上,本实施例所述方法涉及的模块包括:(1)文件系统过滤驱动模块、(2)白名单主服务进程模块,其中:
(1)文件系统过滤驱动模块:采用内核驱动的方式实现,由白名单主服务进程模块安装,随操作系统运行自动运行;
在Windows操作系统中,可执行文件(EXE文件)、动态库文件(DLL文件)和驱动文件(SYS文件)都是PE格式的文件,不管是进程启动,是动态库加载,还是驱动加载,都要由操作系统将PE文件映射到内存;
在操作系统运行期间,发生PE文件映射行为时,例如:A进程要终止B进程、A进程要加载B动态库、系统进程要加载驱动,会自动进入文件系统过滤驱动模块;该模块将遍历自身的白名单清单链表,判断该PE文件映射是否允许,如果是白名单清单中的二进制文件,则将此访问传递到NTFS文件系统,操作系统正常完成此映射;如果不是白名单清单中的二进制文件,则将此访问过程阻止,操作系统映射PE文件失败,从而使得对应的进程无法启动、动态库无法加载、驱动无法加载;如图1所示;
(2)白名单主服务进程模块:白名单主服务进程模块采用Windows应用程序的方式实现,白名单主服务进程在初始化时安装文件系统过滤驱动模块,同时扫描操作系统上的所有PE文件,将各个PE文件的全路径和文件内容的SHA1值添加到驱动的白名单清单中。
实施例3
在实施例2的基础上,本实施例在操作系统运行期间,所述文件系统过滤驱动模块拦截文件创建行为,禁止创建二进制文件,操作系统运行期间所有针对白名单清单链表中的二进制文件的写入、覆盖、替换、删除、重命名,都将被文件系统过滤驱动拦截后予以拒绝,如图2所示。
实施例4
在任一实施例1、2或3的基础上,本实施例为了安全起见,白名单主服务进程初次启动最好在操作系统刚刚安装/配置完成且网络断开的情况下进行。
实施例5
在实施例4的基础上,本实施例白名单主服务进程主动退出时,自动从当前操作系统中卸载文件系统过滤驱动模块和自身白名单主服务进程模块。本白名单控制方法的保护失效,从而将用户的操作系统运行环境复原。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (5)
1.一种基于文件系统过滤驱动的Windows白名单控制方法,其特征在于:所述方法通过在Windows NTFS文件系统上面增加过滤驱动,在整个操作系统上控制非白名单中的进程启动,控制非白名单中的动态库加载,控制非白名单中的驱动加载,控制二进制文件添加,控制白名单中的二进制文件被写入、覆盖、替换、删除和重命名。
2.根据权利要求1所述的一种基于文件系统过滤驱动的Windows白名单控制方法,其特征在于,所述方法涉及的模块包括:(1)文件系统过滤驱动模块、(2)白名单主服务进程模块,其中:
(1)文件系统过滤驱动模块:采用内核驱动的方式实现,由白名单主服务进程模块安装,随操作系统运行自动运行;
在操作系统运行期间,发生PE文件映射行为时,自动进入文件系统过滤驱动模块;该模块将遍历自身的白名单清单链表,判断该PE文件映射是否允许,如果是白名单清单中的二进制文件,则将此访问传递到NTFS文件系统,操作系统正常完成此映射;如果不是白名单清单中的二进制文件,则将此访问过程阻止,操作系统映射PE文件失败,从而使得对应的进程无法启动、动态库无法加载、驱动无法加载;
(2)白名单主服务进程模块:白名单主服务进程模块采用Windows应用程序的方式实现,白名单主服务进程在初始化时安装文件系统过滤驱动模块,同时扫描操作系统上的所有PE文件,将各个PE文件的全路径和文件内容的SHA1值添加到驱动的白名单清单中。
3.根据权利要求2所述的一种基于文件系统过滤驱动的Windows白名单控制方法,其特征在于:操作系统运行期间,所述文件系统过滤驱动模块拦截文件创建行为,禁止创建二进制文件,操作系统运行期间所有针对白名单清单链表中的二进制文件的写入、覆盖、替换、删除、重命名,都将被文件系统过滤驱动拦截后予以拒绝。
4.根据权利要求1、2或3任一所述的一种基于文件系统过滤驱动的Windows白名单控制方法,其特征在于:白名单主服务进程初次启动在操作系统刚刚安装/配置完成且网络断开的情况下进行。
5.根据权利要求4所述的一种基于文件系统过滤驱动的Windows白名单控制方法,其特征在于:白名单主服务进程主动退出时,自动从当前操作系统中卸载文件系统过滤驱动模块和自身白名单主服务进程模块,白名单控制方法的保护失效,从而将用户的操作系统运行环境复原。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610548765.8A CN106203073A (zh) | 2016-07-13 | 2016-07-13 | 一种基于文件系统过滤驱动的Windows白名单控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610548765.8A CN106203073A (zh) | 2016-07-13 | 2016-07-13 | 一种基于文件系统过滤驱动的Windows白名单控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106203073A true CN106203073A (zh) | 2016-12-07 |
Family
ID=57478074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610548765.8A Pending CN106203073A (zh) | 2016-07-13 | 2016-07-13 | 一种基于文件系统过滤驱动的Windows白名单控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106203073A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106650435A (zh) * | 2016-12-28 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种保护系统安全的方法及装置 |
| CN106681813A (zh) * | 2016-12-15 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
| CN106874747A (zh) * | 2017-02-21 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种基于hook技术的Unix白名单控制方法 |
| CN107066884A (zh) * | 2017-02-21 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种Linux系统软件白名单兼容性处理方法 |
| CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
| CN109947482A (zh) * | 2017-12-21 | 2019-06-28 | 深圳Tcl新技术有限公司 | 一种usb设备的加载方法、存储介质及智能电视 |
| CN111131244A (zh) * | 2019-12-24 | 2020-05-08 | 佰倬信息科技有限责任公司 | 防止恶意内容侵染网站页面的方法和系统以及存储介质 |
| CN111209015A (zh) * | 2019-10-24 | 2020-05-29 | 浙江中控技术股份有限公司 | 一种基于文件过滤驱动实现安装跟踪的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101609450A (zh) * | 2009-04-10 | 2009-12-23 | 南京邮电大学 | 基于训练集的网页分类方法 |
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| CN104240068A (zh) * | 2014-08-25 | 2014-12-24 | 小米科技有限责任公司 | 提醒事件创建方法和装置 |
-
2016
- 2016-07-13 CN CN201610548765.8A patent/CN106203073A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101609450A (zh) * | 2009-04-10 | 2009-12-23 | 南京邮电大学 | 基于训练集的网页分类方法 |
| CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
| CN104240068A (zh) * | 2014-08-25 | 2014-12-24 | 小米科技有限责任公司 | 提醒事件创建方法和装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106681813A (zh) * | 2016-12-15 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
| CN106681813B (zh) * | 2016-12-15 | 2020-06-12 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
| CN106650435A (zh) * | 2016-12-28 | 2017-05-10 | 郑州云海信息技术有限公司 | 一种保护系统安全的方法及装置 |
| CN106874747A (zh) * | 2017-02-21 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种基于hook技术的Unix白名单控制方法 |
| CN107066884A (zh) * | 2017-02-21 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种Linux系统软件白名单兼容性处理方法 |
| CN109947482A (zh) * | 2017-12-21 | 2019-06-28 | 深圳Tcl新技术有限公司 | 一种usb设备的加载方法、存储介质及智能电视 |
| CN109947482B (zh) * | 2017-12-21 | 2022-07-29 | 深圳Tcl新技术有限公司 | 一种usb设备的加载方法、存储介质及智能电视 |
| CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
| CN111209015A (zh) * | 2019-10-24 | 2020-05-29 | 浙江中控技术股份有限公司 | 一种基于文件过滤驱动实现安装跟踪的方法 |
| CN111209015B (zh) * | 2019-10-24 | 2023-10-03 | 浙江中控技术股份有限公司 | 一种基于文件过滤驱动实现安装跟踪的方法 |
| CN111131244A (zh) * | 2019-12-24 | 2020-05-08 | 佰倬信息科技有限责任公司 | 防止恶意内容侵染网站页面的方法和系统以及存储介质 |
| CN111131244B (zh) * | 2019-12-24 | 2022-03-25 | 佰倬信息科技有限责任公司 | 防止恶意内容侵染网站页面的方法和系统以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106203073A (zh) | 一种基于文件系统过滤驱动的Windows白名单控制方法 | |
| US9729579B1 (en) | Systems and methods for increasing security on computing systems that launch application containers | |
| US9852289B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
| US9846772B1 (en) | Systems and methods for detecting misplaced applications using functional categories | |
| US10073966B2 (en) | Operating system-independent integrity verification | |
| US20180173874A1 (en) | Intelligent backup and versioning | |
| US9009836B1 (en) | Security architecture for virtual machines | |
| US9756007B1 (en) | Systems and methods for detecting compromised messaging accounts | |
| US9405904B1 (en) | Systems and methods for providing security for synchronized files | |
| US8490086B1 (en) | Filtering I/O communication of guest OS by inserting filter layer between hypervisor and VM and between hypervisor and devices | |
| US20190065736A1 (en) | Systems and methods for preventing malicious applications from exploiting application services | |
| US10282557B1 (en) | Systems and methods for protecting sensitive data against data loss | |
| US9621590B1 (en) | Systems and methods for applying data-loss-prevention policies | |
| CA2915068C (en) | Systems and methods for directing application updates | |
| JP2017511523A (ja) | プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法 | |
| US8353044B1 (en) | Methods and systems for computing device remediation | |
| CN103761114A (zh) | 一种浏览器侧加载扩展和/或插件的方法及装置 | |
| CN105122260A (zh) | 到安全操作系统环境的基于上下文的切换 | |
| CN107066884A (zh) | 一种Linux系统软件白名单兼容性处理方法 | |
| US10803167B1 (en) | Systems and methods for executing application launchers | |
| CN106650435A (zh) | 一种保护系统安全的方法及装置 | |
| US8863304B1 (en) | Method and apparatus for remediating backup data to control access to sensitive data | |
| CN103020501A (zh) | 用户数据的访问控制方法和装置 | |
| CN102096782B (zh) | 一种基于虚拟机的移动介质网银安全认证方法 | |
| US10089469B1 (en) | Systems and methods for whitelisting file clusters in connection with trusted software packages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |
|
| RJ01 | Rejection of invention patent application after publication |