CN107577960A - 一种linux系统中文件隐藏系统及方法 - Google Patents
一种linux系统中文件隐藏系统及方法 Download PDFInfo
- Publication number
- CN107577960A CN107577960A CN201711055947.2A CN201711055947A CN107577960A CN 107577960 A CN107577960 A CN 107577960A CN 201711055947 A CN201711055947 A CN 201711055947A CN 107577960 A CN107577960 A CN 107577960A
- Authority
- CN
- China
- Prior art keywords
- module
- list
- file
- hiding
- kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 118
- 238000001914 filtration Methods 0.000 claims abstract description 33
- 230000006870 function Effects 0.000 claims description 10
- 230000000694 effects Effects 0.000 abstract description 3
- 230000008602 contraction Effects 0.000 abstract 1
- 238000012544 monitoring process Methods 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 10
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种linux系统中文件隐藏系统及方法,包括列表模块,存储需要隐藏的进程、文件及可对隐藏文件进行操作的进程;内核模块,配置在linux操作系统中,并嵌入上述列表模块,同时对嵌入的列表模块内容进行过滤,当系统调用文件时,该内核模块显示过滤后的内容;管理模块,用于开启或关闭内核模块对列表模块的过滤。本发明的一种linux系统中文件隐藏系统及方法与现有技术相比,能够快速检验linux系统中所有用户是否存在弱口令,也对系统管理员起到一定的约束作用,最重要的还是提供监测机制,来规范口令的设置,达到linux系统安全的效果,实用性强,适用范围广泛,易于推广。
Description
技术领域
本发明涉及数据安全技术领域,具体地说是一种linux系统中文件隐藏系统及方法。
背景技术
随着云计算以及大数据的概念的飞速发展,数据的重要性一步步显示出来。然而在飞速发展的背后,数据的安全问题也渐渐的暴露出来。比如前段时间的wanancry勒索病毒,虽然是只针对windows操作平台,但是这仅仅是一个开始,也给我们敲响了警钟。
目前的针对安全的软件基本上是基于黑名单的杀毒软件。黑名单的杀毒软件的重要缺陷就是严重的滞后性。必须等到病毒爆发,病毒库中才存储病毒样本,而且各个安装杀毒软件的机器必须更新病毒库才可以抵御病毒。杀毒软件无法针对病毒变种以及新病毒做出任何的反应,只能乖乖的等着病毒来侵害客户的主机,偷取破坏重要信息,勒索客户获得非法收益,泄露客户重要数据,等等行为都会给客户造成不可估量的损失。
基于以上情况,亟需一种可以将重要的数据内容隐藏,使病毒无法破坏和泄露,从而保护客户的重要数据的技术。
发明内容
本发明的技术任务是针对以上不足之处,提供一种linux系统中文件隐藏系统及方法。
一种linux系统中文件隐藏系统,包括,
列表模块,存储需要隐藏的进程、文件及可对隐藏文件进行操作的进程;
内核模块,配置在linux操作系统中,并嵌入上述列表模块,同时对嵌入的列表模块内容进行过滤,当系统调用文件时,该内核模块显示过滤后的内容;
管理模块,用于开启或关闭内核模块对列表模块的过滤。
所述列表模块中配置有三个列表来分别存储需要隐藏的进程,需要隐藏的文件,以及可对隐藏文件做操作的进程,其中,
列表一中的进程,过滤进程的所有信息,不提供查看功能;
列表二中的文件,过滤文件的所有信息,不提供读写执行操作;
列表三中的进程,可操作列表二中的文件。
所述内核模块中,使用linux的lkm技术来获取内核权限,且该内核模块中配置有查找单元、过滤单元,其中查找单元用于获取系统调用的地址;过滤单元用于完成对列表模块的过滤。
所述查找单元获取系统调用地址时,首先查找系统调用表的地址,根据系统调用表的起始地址,按照地址偏移,查找到相关系统调用的地址,这里的系统调用包括read,readlink, mkdir操作。
所述过滤单元通过在内核模块中插入脚本语言实现,该过滤模块用于在查找单元获取到系统调用地址时,对进程和文件进行过滤,所述系统调用地址是指系统调用函数开始的位置。
所述管理模块通过设置参数enable和disbale实现启闭,进而开启和关闭列表模块过滤的内容,在过滤列表模块时,该管理模块通过进程对列表模块中进程的隐藏;通过文件对列表模块中文件的隐藏;通过进程对列表模块中隐藏文件和进程的可操作。
一种linux系统中文件隐藏方法,基于上述系统,其实现过程为,
一、首先使用lkm技术获取内核模块的内核权限;
二、然后将定义的列表模块插入到内核模块中;
三、当出现系统调用时,通过内核模块获取调用信息,再由内核模块对调用信息进行过滤;
四、内核模块将过滤后的信息展现,完成信息隐藏。
所述步骤三中内核模块调用并过滤信息的过程为:
在内核模块中,在系统发出调用指令时,首先查找系统调用表的地址,根据系统调用表的起始地址,按照地址偏移,查找到相关系统调用的地址,这里的调用是指包括read,readlink,mkdir的系统调用;
然后在内核模块中,在获取到的系统调用函数开始的位置,即上述系统调用的地址,对进程和文件进行过滤,并将过滤后的数据返回给用户层。
还包括步骤五、对隐藏的业务进程进行查看和操作:该步骤通过管理模块实现,所述管理模块提供设置开关,来控制隐藏内容的可见与隐藏。
所述步骤五的具体过程为:
首先将管理模块的进程添加到列表以,实现进程自我隐藏;
将管理模块的文件添加到列表二,实现文件的隐藏;
将管理模块的进程添加到列表三,实现管理模块对隐藏文件和进程的可操作;
设置管理模块的开关,通过设置参数enable和disbale,来开启和关闭列表一、二、三中内容的过滤,进而实现管理模块对隐藏文件和进程的管理以及开关的控制。
本发明的一种linux系统中文件隐藏系统及方法和现有技术相比,具有以下有益效果:
本发明的一种linux系统中文件隐藏系统及方法,通过增加linux内核模块,劫持系统调用,实现对重要进程和文件的隐藏来达到保护进程和文件的目的,本发明能够快速检验linux系统中所有用户是否存在弱口令,也对系统管理员起到一定的约束作用,最重要的还是提供监测机制,来规范口令的设置,达到linux系统安全的效果,实用性强,适用范围广泛,易于推广。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
附图1是本发明系统的结构示意图。
附图2是本发明方法中进程显示过程示意图。
附图3是本发明方法中文件显示过程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明的方案,下面结合具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如附图1所示,本发明提出了一种linux系统中文件隐藏系统,包括,
列表模块,存储需要隐藏的进程、文件及可对隐藏文件进行操作的进程;
内核模块,配置在linux操作系统中,并嵌入上述列表模块,同时对嵌入的列表模块内容进行过滤,当系统调用文件时,该内核模块显示过滤后的内容;
管理模块,用于开启或关闭内核模块对列表模块的过滤。
所述列表模块中配置有三个列表来分别存储需要隐藏的进程,需要隐藏的文件,以及可对隐藏文件做操作的进程,我们在查看或者操作文件以及进程的时候需要匹配这三个列表。
其中,
列表一中的进程,过滤进程的所有信息,不提供查看功能;
列表二中的文件,过滤文件的所有信息,不提供读写执行操作;
列表三中的进程,可操作列表二中的文件。
所述内核模块中,使用linux的lkm技术来获取内核权限,像内核中嵌入我们自己的linux内核模块,从而达到内核级别的保护。该内核模块中配置有查找单元、过滤单元,其中查找单元用于获取系统调用的地址;过滤单元用于完成对列表模块的过滤。
所述查找单元获取系统调用地址时,首先查找系统调用表的地址,根据系统调用表的起始地址,按照地址偏移,查找到相关系统调用的地址,这里的系统调用包括read,readlink, mkdir操作。
所述过滤单元通过在内核模块中插入脚本语言实现,该过滤模块用于在查找单元获取到系统调用地址时,对进程和文件进行过滤,所述系统调用地址是指系统调用函数开始的位置。
所述管理模块通过设置参数enable和disbale实现启闭,进而开启和关闭列表模块过滤的内容,在过滤列表模块时,该管理模块通过进程对列表模块中进程的隐藏;通过文件对列表模块中文件的隐藏;通过进程对列表模块中隐藏文件和进程的可操作。
如附图2、图3所示,一种linux系统中文件隐藏方法,基于linux系统,采用lkm技术,加载内核模块,通过对相关系统调用的替换,实现对文件和进程的过滤。达到进程和文件实际存在,但是在使用系统指令浏览文件和进程的时候无法观察到业务的进程以及重要数据的文件的效果。在外部看来就是一个干净的没有任何业务和重要文件的新系统。在病毒自身扫描整个系统目录的时候也无法发现数据文件和业务进程的存在。为了不影响业务正常运行。可以使特定的业务进程访问该重要文件。
另外,在无法观察到业务进程和重要数据文件的情况下,我们将很难对业务系统和文件作维护,因此提供管理模块,可实现隐藏的业务进程的查看和重要数据内容的操作,另外该管理模块提供设置开关,可控制隐藏内容的可见与隐藏。当然该控制软件也是隐藏的,但是与重要的业务和隐藏文件不同,他可以接收指令。
上述使用lkm技术,实现对linux内核模块的增加,实现内核级别的保护。通过劫持替换系统调用,实现对文件和进程的隐藏功能,通过将重要的进程和文件添加到列表,实现对进程和文件的保护,并将需要访问隐藏进程和文件的进程叫入到列表,实现特定进程对隐藏文件的操作。
所描述的使用lkm技术,实现对文件进程保护的目的,主要包括如下几个步骤:
步骤一:使用lkm技术实现内核权限的获取;
步骤二:将定义的列表插入到内核中;
步骤三:劫持相关系统调用;
步骤四:将文件和进程信息插入到列表中;
步骤五:在执行相关的操作的时候后,系统调用会经过列表中的数据的过滤,从而达到隐藏进程的目的。
所描述的实现特定进程对隐藏文件的操作,主要包括如下几个步骤:
在上述步骤的基础上,将有权限的进程的列表插入到内核,在相关的隐藏文件被操作的时候,查看操作文件的进程是否在列表中,如果在,则允许,不在则禁止。
基于上述系统,本发明linux系统中文件隐藏方法的实现过程为,
一、首先使用lkm技术获取内核模块的内核权限;
二、然后将定义的列表模块插入到内核模块中;
三、当出现系统调用时,通过内核模块获取调用信息,再由内核模块对调用信息进行过滤;
四、内核模块将过滤后的信息展现,完成信息隐藏。
所述步骤三中内核模块调用并过滤信息的过程为:
在内核模块中,在系统发出调用指令时,首先查找系统调用表的地址,根据系统调用表的起始地址,按照地址偏移,查找到相关系统调用的地址,这里的调用是指包括read,readlink,mkdir的系统调用;
然后在内核模块中,在获取到的系统调用函数开始的位置,即上述系统调用的地址,对进程和文件进行过滤,并将过滤后的数据返回给用户层。
还包括步骤五、对隐藏的业务进程进行查看和操作:该步骤通过管理模块实现,所述管理模块提供设置开关,来控制隐藏内容的可见与隐藏。
所述步骤五的具体过程为:
首先将管理模块的进程添加到列表以,实现进程自我隐藏;
将管理模块的文件添加到列表二,实现文件的隐藏;
将管理模块的进程添加到列表三,实现管理模块对隐藏文件和进程的可操作;
设置管理模块的开关,通过设置参数enable和disbale,来开启和关闭列表一、二、三中内容的过滤,进而实现管理模块对隐藏文件和进程的管理以及开关的控制。
至此,我们已经可以隐藏文件和进程,但是我们没有保护我们自己的内核模块,所以在嵌入内核模块的时候,也把自己模块的信息在内核中删除。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种linux系统中文件隐藏系统,其特征在于,包括,
列表模块,存储需要隐藏的进程、文件及可对隐藏文件进行操作的进程;
内核模块,配置在linux操作系统中,并嵌入上述列表模块,同时对嵌入的列表模块内容进行过滤,当系统调用文件时,该内核模块显示过滤后的内容;
管理模块,用于开启或关闭内核模块对列表模块的过滤。
2.根据权利要求1所述的一种linux系统中文件隐藏系统,其特征在于,所述列表模块中配置有三个列表来分别存储需要隐藏的进程,需要隐藏的文件,以及可对隐藏文件做操作的进程,其中,
列表一中的进程,过滤进程的所有信息,不提供查看功能;
列表二中的文件,过滤文件的所有信息,不提供读写执行操作;
列表三中的进程,可操作列表二中的文件。
3.根据权利要求1或2所述的一种linux系统中文件隐藏系统,其特征在于,所述内核模块中,使用linux的lkm技术来获取内核权限,且该内核模块中配置有查找单元、过滤单元,其中查找单元用于获取系统调用的地址;过滤单元用于完成对列表模块的过滤。
4.根据权利要求3所述的一种linux系统中文件隐藏系统,其特征在于,所述查找单元获取系统调用地址时,首先查找系统调用表的地址,根据系统调用表的起始地址,按照地址偏移,查找到相关系统调用的地址,这里的系统调用包括read,readlink, mkdir操作。
5.根据权利要求3所述的一种linux系统中文件隐藏系统,其特征在于,所述过滤单元通过在内核模块中插入脚本语言实现,该过滤模块用于在查找单元获取到系统调用地址时,对进程和文件进行过滤,所述系统调用地址是指系统调用函数开始的位置。
6.根据权利要求1或2所述的一种linux系统中文件隐藏系统,其特征在于,所述管理模块通过设置参数enable和disbale实现启闭,进而开启和关闭列表模块过滤的内容,在过滤列表模块时,该管理模块通过进程对列表模块中进程的隐藏;通过文件对列表模块中文件的隐藏;通过进程对列表模块中隐藏文件和进程的可操作。
7.一种linux系统中文件隐藏方法,其特征在于,基于上述系统,其实现过程为,
一、首先使用lkm技术获取内核模块的内核权限;
二、然后将定义的列表模块插入到内核模块中;
三、当出现系统调用时,通过内核模块获取调用信息,再由内核模块对调用信息进行过滤;
四、内核模块将过滤后的信息展现,完成信息隐藏。
8.根据权利要求7所述的一种linux系统中文件隐藏方法,其特征在于,所述步骤三中内核模块调用并过滤信息的过程为:
在内核模块中,在系统发出调用指令时,首先查找系统调用表的地址,根据系统调用表的起始地址,按照地址偏移,查找到相关系统调用的地址,这里的调用是指包括read,readlink,mkdir的系统调用;
然后在内核模块中,在获取到的系统调用函数开始的位置,即上述系统调用的地址,对进程和文件进行过滤,并将过滤后的数据返回给用户层。
9.根据权利要求7所述的一种linux系统中文件隐藏方法,其特征在于,还包括步骤五、对隐藏的业务进程进行查看和操作:该步骤通过管理模块实现,所述管理模块提供设置开关,来控制隐藏内容的可见与隐藏。
10.根据权利要求9所述的一种linux系统中文件隐藏方法,其特征在于,所述步骤五的具体过程为:
首先将管理模块的进程添加到列表以,实现进程自我隐藏;
将管理模块的文件添加到列表二,实现文件的隐藏;
将管理模块的进程添加到列表三,实现管理模块对隐藏文件和进程的可操作;
设置管理模块的开关,通过设置参数enable和disbale,来开启和关闭列表一、二、三中内容的过滤,进而实现管理模块对隐藏文件和进程的管理以及开关的控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711055947.2A CN107577960A (zh) | 2017-11-01 | 2017-11-01 | 一种linux系统中文件隐藏系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711055947.2A CN107577960A (zh) | 2017-11-01 | 2017-11-01 | 一种linux系统中文件隐藏系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107577960A true CN107577960A (zh) | 2018-01-12 |
Family
ID=61041402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711055947.2A Pending CN107577960A (zh) | 2017-11-01 | 2017-11-01 | 一种linux系统中文件隐藏系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107577960A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108647061A (zh) * | 2018-04-24 | 2018-10-12 | 北京奇虎科技有限公司 | 系统隐藏方法的调用方法、装置和计算设备 |
| CN114036468A (zh) * | 2021-11-24 | 2022-02-11 | 深信服科技股份有限公司 | 一种进程隐藏方法、装置、设备及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护系统及方法 |
| CN102142069A (zh) * | 2011-05-05 | 2011-08-03 | 北京思创银联科技股份有限公司 | 隐藏文件夹的方法 |
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| CN103699604A (zh) * | 2013-12-13 | 2014-04-02 | 北京奇虎科技有限公司 | 一种保护隐私文件的方法和装置 |
| CN107220556A (zh) * | 2017-04-21 | 2017-09-29 | 上海海加网络科技有限公司 | 一种与具体业务系统结合的敏感数据的保护方法及系统 |
| CN107230484A (zh) * | 2017-06-22 | 2017-10-03 | 北京众谊越泰科技有限公司 | 一种可隐藏指定文件及文件夹的方法 |
-
2017
- 2017-11-01 CN CN201711055947.2A patent/CN107577960A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护系统及方法 |
| CN102142069A (zh) * | 2011-05-05 | 2011-08-03 | 北京思创银联科技股份有限公司 | 隐藏文件夹的方法 |
| CN103699604A (zh) * | 2013-12-13 | 2014-04-02 | 北京奇虎科技有限公司 | 一种保护隐私文件的方法和装置 |
| CN107220556A (zh) * | 2017-04-21 | 2017-09-29 | 上海海加网络科技有限公司 | 一种与具体业务系统结合的敏感数据的保护方法及系统 |
| CN107230484A (zh) * | 2017-06-22 | 2017-10-03 | 北京众谊越泰科技有限公司 | 一种可隐藏指定文件及文件夹的方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108647061A (zh) * | 2018-04-24 | 2018-10-12 | 北京奇虎科技有限公司 | 系统隐藏方法的调用方法、装置和计算设备 |
| CN108647061B (zh) * | 2018-04-24 | 2021-11-23 | 北京奇虎科技有限公司 | 系统隐藏方法的调用方法、装置和计算设备 |
| CN114036468A (zh) * | 2021-11-24 | 2022-02-11 | 深信服科技股份有限公司 | 一种进程隐藏方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11663323B2 (en) | Process privilege escalation protection in a computing environment | |
| US10169586B2 (en) | Ransomware detection and damage mitigation | |
| CN102081722B (zh) | 一种保护指定应用程序的方法及装置 | |
| US8413253B2 (en) | Protecting persistent secondary platform storage against attack from malicious or unauthorized programs | |
| KR101034415B1 (ko) | 가상 머신 또는 강화된 운영 시스템 등에서의 컴퓨터 보안관리 | |
| US8495741B1 (en) | Remediating malware infections through obfuscation | |
| US20110173698A1 (en) | Mitigating false positives in malware detection | |
| US10783041B2 (en) | Backup and recovery of data files using hard links | |
| CN105975328B (zh) | 基于安全虚拟机的日志文件安全审计系统及方法 | |
| CA2960214C (en) | Secure document importation via portable media | |
| US20200125723A1 (en) | Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium | |
| CN101414329B (zh) | 删除正在运行中的病毒的方法 | |
| US20230289465A1 (en) | Data Protection Method and Apparatus, Storage Medium, and Computer Device | |
| CN107577960A (zh) | 一种linux系统中文件隐藏系统及方法 | |
| US9390275B1 (en) | System and method for controlling hard drive data change | |
| CN114417326A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| CN108334788B (zh) | 文件防篡改方法及装置 | |
| CA3214199A1 (en) | Ransomware prevention | |
| KR101650287B1 (ko) | 볼륨 guid 기반 파일 접근 제어 시스템 및 그 방법 | |
| CN103309769B (zh) | 操作系统启动保护方法和装置 | |
| CN113221103B (zh) | 一种容器安全防护方法、系统及介质 | |
| CN111158937B (zh) | 基于内核驱动的软件核心文件内生防护方法及装置 | |
| CN108108635B (zh) | 数据安全处理方法、装置和系统 | |
| KR20200122014A (ko) | 프로그램 보호를 기반으로 한 데이터 보안 방법 | |
| KR101908104B1 (ko) | 시스템 잠금 관리장치 및 시스템 잠금 관리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180112 |
|
| RJ01 | Rejection of invention patent application after publication |