一种内核模块防卸载方法、防卸载装置及计算设备与流程

1.本发明涉及计算机及操作系统技术领域，特别涉及一种内核模块防卸载方法、防卸载装置及计算设备。


背景技术：

2.目前，随着操作系统的普及,系统安全显得越来越重要。需要说明的是，操作系统中的大部分核心功能都可以基于内核模块的方式进行开发，不仅使用方便，而且实现了即插即用。对于一些操作系统(例如linux)，如果获取到root权限或者sudo权限，则有权卸载内核模块。由于内核模块常用于重要功能的开发，直接与操作系统的内核进行交互，如果被误操作卸载或者被恶意卸载了内核模块，可能导致整个业务功能失效。尤其是在安全领域，可能因某个安全模块被卸载而导致安全功能失效，计算设备会失去防御能力，受到病毒木马的入侵。
3.为此，需要一种内核模块防卸载方法，以解决上述技术方案中存在的问题。


技术实现要素：

4.为此，本发明提供一种内核模块防卸载方法和防卸载装置，以力图解决或者至少缓解上面存在的问题。
5.根据本发明的一个方面，提供了一种内核模块防卸载方法，在操作系统中执行，包括步骤：获取客户端配置的一个或多个受保护内核模块，基于所述一个或多个受保护内核模块建立受保护列表；检测对待卸载内核模块的卸载操作，并获取待卸载内核模块信息；基于所述待卸载内核模块信息和所述受保护列表来确定待卸载内核模块是否是受保护内核模块；以及如果是，则拒绝执行所述卸载操作。
6.可选地，在根据本发明的内核模块防卸载方法中，确定待卸载内核模块是否是受保护内核模块的步骤还包括：如果否，则执行所述卸载操作，以卸载所述待卸载内核模块。
7.可选地，在根据本发明的内核模块防卸载方法中，检测对待卸载内核模块的卸载操作的步骤包括：拦截对待卸载内核模块的卸载操作。
8.可选地，在根据本发明的内核模块防卸载方法中，拦截对待卸载内核模块的卸载操作包括：基于hook方法对内核模块卸载的系统调用进行拦截。
9.可选地，在根据本发明的内核模块防卸载方法中，待卸载内核模块信息包括待卸载内核模块的名称，其中，基于待卸载内核模块信息和受保护列表来确定待卸载内核模块是否是受保护内核模块的步骤，包括：基于所述待卸载内核模块的名称查询所述受保护列表，以判断所述待卸载内核模块是否在受保护列表内；如果在受保护列表内，则确定待卸载内核模块是受保护内核模块。
10.可选地，在根据本发明的内核模块防卸载方法中，获取客户端配置的一个或多个受保护内核模块包括：获取客户端在配置界面配置的一个或多个受保护内核模块。
11.可选地，在根据本发明的内核模块防卸载方法中，还包括步骤：接收客户端在配置
界面请求添加的至少一个受保护内核模块，将所述请求添加的至少一个受保护内核模块添加到所述受保护列表。
12.可选地，在根据本发明的内核模块防卸载方法中，还包括步骤：接收客户端在配置界面请求删除的至少一个受保护内核模块，将所述请求删除的至少一个受保护内核模块从所述受保护列表删除。
13.可选地，在根据本发明的内核模块防卸载方法中，所述客户端包括加密存储的密码，在配置界面配置一个或多个受保护内核模块之前，所述客户端适于请求获取用户输入的密码，并基于加密存储的密码对用户输入的密码进行验证，在验证通过后，允许在配置界面添加或删除受保护内核模块。
14.根据本发明的一个方面，提供了一种防卸载装置，驻留在操作系统中，包括：获取模块，适于获取客户端配置的一个或多个受保护内核模块，基于所述一个或多个受保护内核模块建立受保护列表；检测模块，适于检测对待卸载内核模块的卸载操作，并获取待卸载内核模块信息；确定模块，适于基于所述待卸载内核模块信息和所述受保护列表来确定待卸载内核模块是否是受保护内核模块；以及拒绝模块，适于在确定待卸载内核模块是受保护内核模块时，拒绝执行所述卸载操作。
15.根据本发明的一个方面，提供了一种计算设备，包括：至少一个处理器；以及存储器，存储有程序指令，其中，所述程序指令被配置为适于由所述至少一个处理器执行，所述程序指令包括用于执行如上所述的内核模块防卸载方法的指令。
16.根据本发明的一个方面，提供了一种存储有程序指令的可读存储介质，当所述程序指令被计算设备读取并执行时，使得所述计算设备执行如上所述方法。
17.根据本发明的技术方案，提供了一种内核模块防卸载方法，根据本发明的内核模块防卸载方法，用户可以在客户端对要求保护的内核模块配置为受保护内核模块，操作系统的内核可以基于客户端配置的受保护内核模块来建立受保护列表，并对内核模块的卸载操作进行检测和拦截，在获取到待卸载内核模块信息后，通过查询受保护列表可以确定待卸载内核模块是否属于要求保护的受保护内核模块，如果确定是受保护内核模块，则拒绝执行对待卸载内核模块的卸载操作。这样，本发明可以根据客户端对受保护内核模块的配置来制止对内核模块进行卸载，从而实现了对内核模块的防卸载保护，以避免重要的内核模块被卸载，提高了操作系统的安全性。
18.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
19.为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。
20.图1示出了根据本发明一个实施例的计算设备100的示意图；
21.图2示出了根据本发明一个实施例的内核模块防卸载方法200的流程图；
22.图3示出了根据本发明一个实施例的配置界面的示意图；以及
23.图4示出了根据本发明一个实施例的防卸载装置400的示意图。
具体实施方式
24.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
25.图1是示例计算设备100的示意框图。
26.如图1所示，在基本的配置102中，计算设备100典型地包括系统存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和系统存储器106之间的通信。
27.取决于期望的配置，处理器104可以是任何类型的处理，包括但不限于：微处理器(up)、微控制器(uc)、数字信息处理器(dsp)或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元(alu)、浮点数单元(fpu)、数字信号处理核心(dsp核心)或者它们的任何组合。示例的存储器控制器118可以与处理器104一起使用，或者在一些实现中，存储器控制器118可以是处理器104的一个内部部分。
28.取决于期望的配置，系统存储器106可以是任意类型的存储器，包括但不限于：易失性存储器(诸如ram)、非易失性存储器(诸如rom、闪存等)或者它们的任何组合。系统存储器106可以包括操作系统120、一个或者多个应用122以及程序数据124。在一些实施方式中，应用122可以布置为在操作系统上由一个或多个处理器104利用程序数据124执行指令。
29.计算设备100还包括储存设备132，储存设备132包括可移除储存器136和不可移除储存器138。
30.计算设备100还可以包括储存接口总线134。储存接口总线134实现了从储存设备132(例如，可移除储存器136和不可移除储存器138)经由总线/接口控制器130到基本配置102的通信。操作系统120、应用122以及数据124的至少一部分可以存储在可移除储存器136和/或不可移除储存器138上，并且在计算设备100上电或者要执行应用122时，经由储存接口总线134而加载到系统存储器106中，并由一个或者多个处理器104来执行。
31.计算设备100还可以包括有助于从各种接口设备(例如，输出设备142、外设接口144和通信设备146)到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图像处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个a/v端口152与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156，它们可以被配置为有助于经由一个或者多个i/o端口158和诸如输入设备(例如，键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160，其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。
32.网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波
或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以是这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中以编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频(rf)、微波、红外(ir)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
33.计算设备100可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。当然，计算设备100也可以实现为小尺寸便携(或者移动)电子设备的一部分，这些电子设备可以是诸如蜂窝电话、数码照相机、个人数字助理(pda)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。甚至可以被实现为服务器，如文件服务器、数据库服务器、应用程序服务器和web服务器等。本发明的实施例对此均不做限制。
34.在根据本发明的实施例中，计算设备100被配置为执行根据本发明的内核模块防卸载方法200。其中，计算设备100的操作系统中包含用于执行本发明的内核模块防卸载方法200的多条程序指令，使得本发明的内核模块防卸载方法200可以在计算设备100的操作系统(内核)中执行，以实现对内核模块的防卸载保护。
35.根据一个实施例，操作系统中驻留有防卸载装置400，防卸载装置400中包含用于执行本发明的内核模块防卸载方法200的多条程序指令，使得本发明的内核模块防卸载方法200可以在防卸载装置400中执行。
36.需要说明的是，在具体实施例中，本发明仅以linux操作系统为例对内核模块防卸载方法200进行了具体说明。但，应当理解，本发明的内核模块防卸载方法200并不受限于执行该方法的操作系统的具体种类，本领域技术人员都能理解该方法同样能在其他种类的操作系统，例如windows操作系统上实现，而不需要付出创造性的劳动。任何能通过本发明的方法来实现对内核模块进行防卸载保护的操作系统的种类均在本发明的保护范围之内。
37.图2示出了根据本发明一个实施例的内核模块防卸载方法200的流程图。内核模块防卸载方法200可以在计算设备(例如前述计算设备100)的操作系统中执行。计算设备100的操作系统可以与一个或多个客户端通信相连。
38.如图2所示，方法200始于步骤s210。
39.在步骤s210中，获取客户端配置的一个或多个受保护内核模块，基于获取到的一个或多个受保护内核模块来建立受保护列表。
40.在一种实现方式中，客户端可以基于配置界面来对受保护内核模块进行配置，以便防止对相应内核模块的卸载。也就是说，操作系统可以获取客户端在配置界面配置的一个或多个受保护内核模块，并基于获取到的一个或多个受保护内核模块来建立受保护列表。这样，后续操作系统可以基于受保护列表拒绝对受保护内核模块执行卸载操作，实现防止对相应内核模块的卸载。
41.在一种实现方式中，受保护列表可以实现为哈希表。受保护列表中可以包括一项或多项受保护内核模块信息，每一项受保护内核模块信息包括受保护内核模块的名称。
42.随后在步骤s220中，检测对待卸载内核模块的卸载操作，并获取待卸载内核模块信息。
43.在一个实施例中，在检测到对内核模块的卸载操作时，可以通过hook拦截方法来拦截对待卸载内核模块的卸载操作，以获取待卸载内核模块的信息。
44.具体地，可以对内核模块卸载的系统调用进行拦截。在一种实现方式中，可以基于hook方法对内核模块卸载的系统调用delete_module进行拦截，具体地，通过将对内核模块卸载的系统调用delete_module替换为拦截系统调用函数hook_delete_module，以此实现对系统调用delete_module的拦截。
45.在又一种实现方式中，在内核模块卸载的系统调用delete_module的基础上，增加新的逻辑security_delete_module来实现对卸载操作进行检测，判断待卸载模块是否属于受保护内核模块。
46.随后在步骤s230中，基于待卸载内核模块信息和受保护列表，来确定待卸载内核模块是否是受保护内核模块。
47.这里，待卸载内核模块信息例如包括待卸载内核模块的名称。通过基于待卸载内核模块的名称来查询前述建立好的受保护列表，根据待卸载内核模块的名称是否命中来判断待卸载内核模块是否在受保护列表内。如果命中，说明待卸载内核模块是否在受保护列表内，反之，如果没有命中，说明待卸载内核模块不在受保护列表内。
48.当待卸载内核模块在受保护列表内时，可以确定待卸载内核模块是预先配置的受保护内核模块，此时可以继续执行下述步骤s240。
49.在步骤s240中，如果确定待卸载内核模块是受保护内核模块，则拒绝执行对待卸载内核模块的卸载操作。并且，可以向客户端返回拒绝卸载(-eperm)。这样，便实现了根据客户端对受保护内核模块的配置来制止对内核模块进行卸载，从而实现对内核模块的防卸载保护。
50.相应地，如果待卸载内核模块不在受保护列表内，可以确定待卸载内核模块不是受保护内核模块，此时，可以执行对待卸载内核模块的卸载操作，以便卸载待卸载内核模块。
51.根据本发明的一个实施例，客户端还可以在配置界面添加或删除受保护内核模块。
52.操作系统可以接收客户端在配置界面请求添加的至少一个受保护内核模块，将客户端请求添加的至少一个受保护内核模块添加到所建立的受保护列表中，以便根据客户端对新的受保护内核模块的添加操作来更新受保护列表。
53.操作系统还可以接收客户端在配置界面请求删除的至少一个受保护内核模块，将客户端请求删除的至少一个受保护内核模块从受保护列表中删除，以便根据客户端对已配置的受保护内核模块的删除操作来更新受保护列表。
54.图3示出了根据本发明一个实施例的配置界面的示意图。配置界面适于显示在客户端的屏幕上。如图3所示，配置界面上显示有内核模块保护列表。内核模块保护列表中的每一项包括一个已配置的受保护内核模块的路径，并且，每一项还包含一个删除控件。并且，配置界面上还包括添加控件、确定控件。
55.客户端可以接收用户对受保护内核模块的配置请求，这里，配置请求包括对受保护内核模块的添加请求和删除请求。在一种实现方式中，如图3所示，用户可以通过点击配置界面上的添加控件来请求添加受保护内核模块，用户还可以通过点击配置界面上内核模
块保护列表中任意一个删除控件、来请求将相应的受保护内核模块进行删除。
56.在一个实施例中，客户端配置有独立的密码，并对密码进行加密后存储在与客户端相连的数据存储装置中。例如，客户端的密码可以通过hash算法进行加密后存储。在客户端接收到用户通过点击添加控件、或删除控件发送的配置请求后，客户端首先会进行鉴权，即，客户端向用户请求获取密码，在用户输入密码后，客户端基于加密存储的密码来对用户输入的密码进行验证，在对用户输入的密码验证通过之后，才会允许客户端在配置界面对受保护内核模块进行添加或删除等配置操作。这样，即使用户拥有系统最高权限也无法随意配置受保护内核模块，从而提高了对内核模块配置操作的安全性，避免受保护内核模块被恶意修改。
57.其中，如果客户端接收到的是用户点击添加控件的操作，则在对密码验证通过之后，在客户端的屏幕上弹出内核模块文件选择框(文件选择框路径例如为系统模块路径/lib/modules)，以便用户在内核模块文件选择框中选择一个或多个要防卸载的新的内核模块，以请求将这些内核模块配置为受保护内核模块。随后，在配置界面的保护列表中会展示这些新的内核模块的路径，并在用户点击确定控件后，实现将这些新的内核模块的配置为受保护内核模块。之后，客户端可以将新配置的一个或多个受保护内核模块发送至操作系统，以请求操作系统将新配置的一个或多个受保护内核模块添加到受保护列表中，从而在操作系统更新受保护列表。
58.另外，客户端在根据用户的添加操作获取新配置的一个或多个受保护内核模块之后，可以将这些新配置的受保护内核模块信息存储在与客户端相连的数据存储装置中。
59.如果客户端接收到的是用户点击配置界面上内核模块保护列表中的删除控件的操作，则在对密码验证通过之后，将删除控件所在项中的受保护内核模块的路径从配置界面的保护列表中删除，并且，将用户请求删除的一个或多个受保护内核模块发送至操作系统，以请求操作系统将相应的受保护内核模块从受保护列表中删除，从而在操作系统更新受保护列表。另外，客户端还可以将删除的受保护内核模块信息从数据存储装置中删除。
60.还需要说明的是，客户端基于加密的方式与操作系统的内核进行通信，以便将用户请求添加或删除的受保护内核模块信息发送至操作系统的内核，确保系统安全性。
61.图4示出了根据本发明一个实施例的防卸载装置400示意图。防卸载装置400驻留在计算设备(例如前述计算设备100)的操作系统中，适于执行本发明的内核模块防卸载方法200。操作系统可以与一个或多个客户端通信相连。
62.如图4所示，防卸载装置400包括依次相连的获取模块410、检测模块420、确定模块430以及拒绝模块440。其中，获取模块410用于获取客户端配置的一个或多个受保护内核模块，基于一个或多个受保护内核模块建立受保护列表。检测模块420用于检测对待卸载内核模块的卸载操作，并获取待卸载内核模块信息。确定模块430基于待卸载内核模块信息和受保护列表来确定待卸载内核模块是否是受保护内核模块。在确定待卸载内核模块是受保护内核模块时，通过拒绝模块440拒绝执行对待卸载内核模块的卸载操作。
63.应当指出，获取模块410用于执行前述步骤s210，检测模块420用于执行前述步骤s220，确定模块430用于执行前述步骤s230，拒绝模块440用于执行前述步骤s240。这里，获取模块410、检测模块420、确定模块430以及拒绝模块440的具体执行逻辑参见前文方法200中对步骤s210～s240的描述，此处不再赘述。
64.根据本发明的内核模块防卸载方法，用户可以在客户端对要求保护的内核模块配置为受保护内核模块，操作系统的内核可以基于客户端配置的受保护内核模块来建立受保护列表，并对内核模块的卸载操作进行检测和拦截，在获取到待卸载内核模块信息后，通过查询受保护列表可以确定待卸载内核模块是否属于要求保护的受保护内核模块，如果确定是受保护内核模块，则拒绝执行对待卸载内核模块的卸载操作。这样，本发明可以根据客户端对受保护内核模块的配置来制止对内核模块进行卸载，从而实现了对内核模块的防卸载保护，以避免重要的内核模块被卸载，提高了操作系统的安全性。
65.这里描述的各种技术可结合硬件或软件，或者它们的组合一起实现。从而，本发明的方法和设备，或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介，例如可移动硬盘、u盘、软盘、cd-rom或者其它任意机器可读的存储介质中的程序代码(即指令)的形式，其中当程序被载入诸如计算机之类的机器，并被所述机器执行时，所述机器变成实践本发明的设备。
66.在程序代码在可编程计算机上执行的情况下，计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)，至少一个输入装置，和至少一个输出装置。其中，存储器被配置用于存储程序代码；处理器被配置用于根据该存储器中存储的所述程序代码中的指令，执行本发明的内核模块防卸载方法。
67.以示例而非限制的方式，可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据，并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
68.在此处所提供的说明书中，算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
69.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
70.类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
71.本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中，或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
72.本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地
改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
73.此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
74.此外，所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此，具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外，装置实施例的在此所述的元素是如下装置的例子：该装置用于实施由为了实施该发明的目的的元素所执行的功能。
75.如在此所使用的那样，除非另行规定，使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例，并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
76.尽管根据有限数量的实施例描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施例。此外，应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。