一种防止恶意程序加载的方法、装置、设备和存储介质与流程

1.本技术涉及计算机安全技术领域，特别是涉及一种防止恶意程序加载的方法、装置、设备和存储介质。


背景技术：

2.扩展的伯克利数据包过滤器(extended berkeley packet filter，ebpf)是一种数据包过滤技术，从伯克利数据包过滤器(berkeley packet filter，bpf)扩展而得。伯克利数据包过滤器的目的是为了提供一种过滤包的方法，并且要避免从内核空间到用户空间的无用的数据包复制行为。最初是由从用户空间注入到内核的一个简单的字节码构成，它在那个位置利用一个校验器进行检查，以避免内核奔溃或者安全问题；同时，附着到一个套接字上，在每一个接收到的数据包上运行。接着，对bpf进行改造，增加了新的功能，改善了性能，从而得到ebpf。
3.ebpf提供给用户一个虚拟risc处理器以及一组相关的指令。用户可以直接通过这组指令编写程序；同时，程序在下发到该虚拟机之前也会经过ebpf的检查。例如，检查程序是否会访问不合法的内存地址、检查程序会不会进入无限循环等等，在通过检查后才可以进入执行的环节。
4.ebpf虽然一定程度上增强了内核态的追踪调试功能，但是也带来了一定的安全问题，非法主体可以通过ebpf编写恶意软件程序损害系统安全。因此，当前对于ebpf的安全问题主要包括恶意软件程序。
5.在相关技术中，ebpf加载过程中的系统内部的校验器和汇编器只能保证程序本身的运行不会导致逻辑错误，不会使内核崩溃，但无法判定该ebpf程序的用途是否正向的，是否是用户自己的程序，也许是为了窃取用户信息的恶意程序，也许是为绕过防火墙的恶意网络程序。
6.有鉴于此，有必要对现有技术中的ebpf的网络防护方法予以改进，以解决上述问题。


技术实现要素：

7.针对无法判定该ebpf程序的用途是否正向的，是否是用户自己的程序的技术问题，本技术提供了一种能够提高可执行程序的安全性，并保证程序来源的可靠性的防止恶意程序加载的方法、装置、设备和存储介质。
8.第一方面，提供一种防止恶意程序加载的方法，所述方法包括：
9.响应于接收到带有加密结果的可执行文件，检查所述可执行文件中是否存在非标准名称的节；
10.响应于可执行文件中存在非标准名称的节，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；
11.通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结
果；
12.将所述第一校验结果与所述解密结果进行对比；
13.响应于对比结果不一致，结束可执行文件的加载进程，并产生告警。
14.在其中一个实施例中，在响应于接收到带有加密结果的可执行文件之前，所述方法还包括：
15.通过编译器将代码转化成可执行文件，并在所述可执行文件中新增一个非标准名称的节；
16.其中，所述可执行文件中包括至少一个标准名称的节。
17.在其中一个实施例中，所述带有加密结果的可执行文件通过签名机对根据校验算法计算可执行文件中标准名称的节的内容获得的第二校验结果进行加密，并将所述加密结果保存到所述非标准名称的节中的方式获得。
18.在其中一个实施例中，所述方法还包括：
19.检查可执行文件中是否存在非标准名称的节；
20.响应于可执行文件中不存在非标准名称的节，结束可执行文件的加载进程，并产生告警。
21.在其中一个实施例中，所述方法还包括：
22.将所述第一校验结果与所述解密结果进行对比；
23.响应于对比结果一致，根据系统校验器对可执行文件进行校验；
24.响应于校验成功，根据系统汇编器对所述可执行文件进行翻译解析，获得可执行机器代码；
25.将所述可执行机器代码挂载到系统指定位置，等待触发执行。
26.在其中一个实施例中，所述通过校验算法对可执行文件中标准名称的节的内容进行计算，包括：
27.通过哈希函数对可执行文件中标准名称的节的内容进行计算，得到对应的哈希值；
28.将所述对应的哈希值记作校验结果。
29.在其中一个实施例中，业务机产生告警的方式包括生成系统日志进行告警或向指定邮箱发送邮件进行告警，业务机产生的告警信息包括时间、用户和可执行文件名。
30.第二方面，提供了一种防止恶意程序加载的装置，所述装置包括：
31.检查模块，用于业务机检查可执行文件中是否存在非标准名称的节；
32.检查模块，用于响应于接收到带有加密结果的可执行文件，检查所述可执行文件中是否存在非标准名称的节；
33.解密获取模块，用于响应于可执行文件中存在非标准名称的节，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；
34.计算获取模块，用于通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；
35.对比模块，用于将所述第一校验结果与所述解密结果进行对比；
36.第一结束告警模块，用于响应于对比结果不一致，结束可执行文件的加载进程，并产生告警。
37.第三方面，提供了一种计算机设备，所述计算机设备包括一个或多个处理器；以及与所述一个或多个处理器关联的存储器，所述存储器用于存储程序指令，所述程序指令在被所述一个或多个处理器读取执行时，执行如上述第一方面任意一项所述防止恶意程序加载的方法的步骤。
38.第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行如上述第一方面任意一项所述防止恶意程序加载的方法的步骤。
39.上述防止恶意程序加载方法、装置、设备和存储介质，在业务机上，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；将所述第一校验结果与所述解密结果进行对比；响应于对比结果不一致，业务机结束可执行文件的加载进程，并产生告警。通过上述方法本技术实现了提高可执行程序的安全性，并保证程序来源的可靠性的技术效果。
附图说明
40.图1为一个实施例中防止恶意程序加载方法的流程示意图；
41.图2为一个实施例中防止恶意程序加载方法的流程框图；
42.图3为一个实施例中检测到恶意程序加载的流程示意图；
43.图4为一个实施例中防止恶意程序加载装置的结构框图；
44.图5为一个实施例中计算机设备的内部结构图。
具体实施方式
45.本技术主要包含三部分：签名、验签、告警；
46.签名机：持有私钥密钥，负责对可执行文件进行签名；
47.业务机：持有公钥密钥，加载的过程中进行验签操作；
48.告警：验签操作发现未签名的可执行文件加载行为，或已签名但签名不符的情况，都会进行告警，有两种方式，第一是生成系统日志进行告警；第二是如果设置了告警邮箱，会向指定邮箱发送邮件进行告警。
49.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
50.实施例一
51.在一个实施例中，如图1所示，提供了一种防止恶意程序加载的方法，该方法包括以下步骤：
52.s10、响应于接收到带有加密结果的可执行文件，检查所述可执行文件中是否存在非标准名称的节；
53.例如，可执行文件中节的非标准名称为.security.register。
54.s11a、响应于可执行文件中存在非标准名称的节，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；
55.具体地，在签名机上生成公私钥对，把公钥拷贝到业务机上去；
56.s12、通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；
57.s13、将所述第一校验结果与所述解密结果进行对比；
58.具体地，把sha256(一种哈希函数，用于判断elf文件内容是否发生变化)结果与解密结果对比，如果一致，则代表是自己签名的ebpf程序。
59.s14a、响应于对比结果不一致，结束可执行文件的加载进程，并产生告警。
60.具体地，如图2所示，准备两台机器，签名机a，业务机b。在签名机a上生成rsa(非对称加密算法)公私钥对，把公钥拷贝到业务机b上去，在业务机b上设置告警邮箱。通过设置两台机器，将公钥和私钥分别进行存放，有助于提高程序加载中的安全性。
61.在业务机b上用c语言编写ebpf程序，并用llvm/clang(llvm指的是底层编译器，clang指的是前端)编译成elf格式(elf是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件的文件格式)的文件，其中文件包含额外的.se curity.register节(section)。
62.在业务机b上，加载elf格式的文件。加载的过程中进行验签操作，即将所述第一校验结果与所述解密结果进行对比，对比结果不一致或未发现.security.register节，加载过程结束。产生系统日志告警，向告警邮箱发送告警邮件。
63.在其中一种实施方式中，在上述步骤s10响应于接收到带有加密结果的可执行文件之前，所述方法还包括以下步骤：
64.s1、通过编译器将代码转化成可执行文件，并在所述可执行文件中新增一个非标准名称的节；
65.其中，所述可执行文件中包括至少一个标准名称的节。
66.具体地，在业务机上写完c代码后，调整llvm clang使其编译成elf文件时，默认为elf文件增加一个特定名称的节，例如.security.register。
67.在其中一种实施方式中，上述步骤s10中带有加密结果的可执行文件通过签名机对根据校验算法计算可执行文件中标准名称的节的内容获得的第二校验结果进行加密，并将所述加密结果保存到所述非标准名称的节中的方式获得。
68.具体地，新建一个elf签名程序，对elf中除.security.register节之外的所有节内容进行sha256计算。
69.具体地，可以采用rsa加密算法新建一套非对称加密公私钥对，把sha256结果用私钥加密后保存到.security.register节中。
70.在其中一种实施方式中，所述方法还包括以下步骤：
71.s10、检查可执行文件中是否存在非标准名称的节；
72.s11b、响应于可执行文件中不存在非标准名称的节，结束可执行文件的加载进程，并产生告警。
73.在其中一种实施方式中，所述方法还包括以下步骤：
74.s13、将所述第一校验结果与所述解密结果进行对比；
75.s14b、响应于对比结果一致，根据系统校验器对可执行文件进行校验；
76.s15b、响应于校验成功，根据系统汇编器对所述可执行文件进行翻译解析，获得可执行机器代码；
77.具体地，在内核里面有校验器负责对程序进行校验，有jit(即时编译器)对程序进行翻译解析。
78.s16b、将所述可执行机器代码挂载到系统指定位置，等待触发执行。
79.具体地，解析之后的可执行机器码程序挂载到指定内核hook(钩子函数)点，等待触发执行。
80.具体地，如图3所示，准备两台机器，签名机a，业务机b。在签名机a上生成rsa公私钥对，把公钥拷贝到业务机b上。
81.在业务机b上用c语言编写ebpf程序，并用llvm/clang编译成elf格式的文件，文件中包含额外的.security.register节。
82.把elf格式的文件拷贝到签名机a上，使用签名程序 私钥对elf文件进行签名(对elf文件中除.security.register节外的所有节内容计算sha256值，并对sha256值使用私钥加密，加密结果存放到.security.register节中)。
83.把加密后的elf文件拷贝到业务机b上，进行加载。加载的过程中进行验签操作，即将所述第一校验结果与所述解密结果进行对比，对比结果一致，可以正常加载和挂载，等待触发。
84.在其中一种实施方式中，上述步骤s12中通过校验算法对可执行文件中标准名称的节的内容进行计算，包括以下子步骤：
85.s2、通过哈希函数对可执行文件中标准名称的节的内容进行计算，得到对应的哈希值；
86.s3、将所述对应的哈希值记作校验结果。
87.在其中一种实施方式中，上述步骤s14a中业务机产生告警的方式包括生成系统日志进行告警或向指定邮箱发送邮件进行告警，业务机产生的告警信息包括时间、用户和可执行文件名。
88.具体地，目前linux主要的可执行程序都是elf格式的，该方案也可用于对普通用户态程序进行签名和验签，避免恶意程序的执行(例如，恶意人员破解攻入了系统，把可执行程序替换成了包含恶意代码的新程序，相同的名称，在用户在使用期间执行了恶意程序代码，比如passwd，每次修改密码都把新密码发送到远端)。
89.上述防止恶意程序加载的方法中，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；将所述第一校验结果与所述解密结果进行对比；响应于对比结果不一致，业务机结束可执行文件的加载进程，并产生告警。通过上述方法本技术实现了提高可执行程序的安全性，并保证程序来源的可靠性的技术效果。并且当发生未知ebpf程序加载并被阻止时，能及时告知系统管理员进行处理。
90.在所述可执行文件中新增一个非标准名称的节，并将增加后的可执行文件复制到签名机上；签名机通过校验算法对所述可执行文件中标准名称的节的内容进行计算，获得第二校验结果；通过私钥将所述第二校验结果进行加密，获得加密结果和加密后的可执行文件；将所述加密结果保存到所述非标准名称的节中，并将所述加密后的可执行文件复制到业务机上。通过新增一个非标准名称的节的方法，避免修改可执行文件的格式，并且通过对可执行文件的校验计算和加密为后续的对比过程做了铺垫。
91.根据系统校验器对可执行文件进行校验；响应于校验成功，根据系统汇编器对所述可执行文件进行翻译解析，获得可执行机器代码；将所述可执行机器代码挂载到系统指定位置，等待触发执行。经过系统默认的校验器校验成功后，将可执行文件转化成机器代码，挂载到系统指定位置，等待触发执行，实现用户对程序的调用。
92.产生告警的方式包括生成系统日志进行告警或向指定邮箱发送邮件进行告警，告警信息包括时间、用户和可执行文件名，有利于用户观察到异常情况，进行异常处理。
93.通过设置两台机器，将公钥和私钥分别进行存放，有助于提高程序加载中的安全性。
94.应该理解的是，虽然图1的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
95.实施例二
96.在一个实施例中，如图4所示，提供了一种防止恶意程序加载的装置，包括：检查模块40、解密获取模块41、第一计算获取模块42、对比模块43和第一结束告警模块44，其中：
97.检查模块40，用于响应于接收到带有加密结果的可执行文件，检查所述可执行文件中是否存在非标准名称的节；
98.解密获取模块41，用于响应于可执行文件中存在非标准名称的节，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；
99.计算获取模块42，用于通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；
100.对比模块43，用于将所述第一校验结果与所述解密结果进行对比；
101.第一结束告警模块44，用于响应于对比结果不一致，结束可执行文件的加载进程，并产生告警。
102.在其中一种实施方式中，在检查模块40响应于接收到带有加密结果的可执行文件之前，所述装置还包括以下模块：
103.转化增加模块45，用于通过编译器将代码转化成可执行文件，并在所述可执行文件中新增一个非标准名称的节；
104.其中，所述可执行文件中包括至少一个标准名称的节。
105.在其中一种实施方式中，上述检查模块40中带有加密结果的可执行文件通过签名机对根据校验算法计算可执行文件中标准名称的节的内容获得的第二校验结果进行加密，并将所述加密结果保存到所述非标准名称的节中的方式获得。
106.在其中一种实施方式中，所述装置还包括以下模块：
107.检查模块40，用于检查可执行文件中是否存在非标准名称的节；
108.第二结束告警模块46，用于响应于可执行文件中不存在非标准名称的节，结束可执行文件的加载进程，并产生告警。
109.在其中一种实施方式中，所述装置还包括以下模块：
110.对比模块47，用于将所述第一校验结果与所述解密结果进行对比；
111.校验模块48，用于响应于对比结果一致，根据系统校验器对可执行文件进行校验；
112.解析获取子模块49，用于响应于校验成功，根据系统汇编器对所述可执行文件进行翻译解析，获得可执行机器代码；
113.挂载触发子模块4a，用于将所述可执行机器代码挂载到系统指定位置，等待触发执行。
114.在其中一种实施方式中，上述计算获取模块42中通过校验算法对可执行文件中标准名称的节的内容进行计算，包括以下子模块：
115.计算获取子模块420，用于通过哈希函数对可执行文件中标准名称的节的内容进行计算，得到对应的哈希值；
116.记载子模块421，用于将所述对应的哈希值记作校验结果。
117.在其中一种实施方式中，上述结束告警模块44中业务机产生告警的方式包括生成系统日志进行告警或向指定邮箱发送邮件进行告警，业务机产生的告警信息包括时间、用户和可执行文件名。
118.关于防止恶意程序加载的装置的具体限定可以参见上文中对于防止恶意程序加载的方法的限定，在此不再赘述。上述防止恶意程序加载的装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
119.实施例三
120.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：
121.响应于接收到带有加密结果的可执行文件，检查所述可执行文件中是否存在非标准名称的节；
122.响应于可执行文件中存在非标准名称的节，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；
123.通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；
124.将所述第一校验结果与所述解密结果进行对比；
125.响应于对比结果不一致，结束可执行文件的加载进程，并产生告警。
126.在一个实施例中，处理器执行计算机程序时还实现以下步骤：
127.通过编译器将代码转化成可执行文件，并在所述可执行文件中新增一个非标准名称的节；
128.其中，所述可执行文件中包括至少一个标准名称的节。
129.在一个实施例中，处理器执行计算机程序时还实现以下步骤：
130.所述带有加密结果的可执行文件通过签名机对根据校验算法计算可执行文件中标准名称的节的内容获得的第二校验结果进行加密，并将所述加密结果保存到所述非标准名称的节中的方式获得。
131.在一个实施例中，处理器执行计算机程序时还实现以下步骤：
132.检查可执行文件中是否存在非标准名称的节；
133.响应于可执行文件中不存在非标准名称的节，结束可执行文件的加载进程，并产生告警。
134.在一个实施例中，处理器执行计算机程序时还实现以下步骤：
135.将所述第一校验结果与所述解密结果进行对比；
136.响应于对比结果一致，根据系统校验器对可执行文件进行校验；
137.响应于校验成功，根据系统汇编器对所述可执行文件进行翻译解析，获得可执行机器代码；
138.将所述可执行机器代码挂载到系统指定位置，等待触发执行。
139.在一个实施例中，处理器执行计算机程序时还实现以下步骤：
140.通过哈希函数对可执行文件中标准名称的节的内容进行计算，得到对应的哈希值；
141.将所述对应的哈希值记作校验结果。
142.在一个实施例中，处理器执行计算机程序时还实现以下步骤：
143.业务机产生告警的方式包括生成系统日志进行告警或向指定邮箱发送邮件进行告警，业务机产生的告警信息包括时间、用户和可执行文件名。
144.所述程序指令在被所述一个或多个处理器读取执行时，还可以执行与上述方法实施例中的各个步骤对应的操作，可以参考上文中的描述，此处不再赘述。参考图5，其示例性的展示出了计算机设备的架构，具体可以包括处理器410，视频显示适配器511，磁盘驱动器512，输入/输出接口513，网络接口514，以及存储器520。上述处理器510、视频显示适配器511、磁盘驱动器512、输入/输出接口513、网络接口514，与存储器520之间可以通过通信总线530进行通信连接。
145.其中，处理器510可以采用通用的中央处理器(central processing unit，cpu)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本技术所提供的技术方案。
146.存储器520可以采用只读存储器(read only memory，rom)、随机存取存储器(random access memory，ram)、静态存储设备，动态存储设备等形式实现。存储器520可以存储用于控制计算机设备500运行的操作系统521，用于控制计算机设备500的低级别操作的基本输入输出系统(bios)522。另外，还可以存储网页浏览器523，数据存储管理524，以及图标字体处理系统525等等。上述图标字体处理系统525就可以是本技术实施例中具体实现前述各步骤操作的应用程序。总之，在通过软件或者固件来实现本技术所提供的技术方案时，相关的程序代码保存在存储器520中，并由处理器510来调用执行。
147.输入/输出接口513用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
148.网络接口514用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
149.总线530包括一通路，在设备的各个组件(例如处理器510、视频显示适配器511、磁盘驱动器512、输入/输出接口513、网络接口514，与存储器520)之间传输信息。
150.另外，该计算机设备500还可以从虚拟资源对象领取条件信息数据库541中获得具体领取条件的信息，以用于进行条件判断，等等。
151.需要说明的是，尽管上述计算机设备500仅示出了处理器510、视频显示适配器511、磁盘驱动器512、输入/输出接口513、网络接口514，存储器520，总线530等，但是在具体实施过程中，该计算机设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本技术方案所必需的组件，而不必包含图中所示的全部组件。
152.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，云服务器，或者网络设备等)执行本技术各个实施例或者实施例的某些部分所述的方法。
153.实施例四
154.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
155.响应于接收到带有加密结果的可执行文件，检查所述可执行文件中是否存在非标准名称的节；
156.响应于可执行文件中存在非标准名称的节，通过公钥对所述非标准名称的节的内容进行解密，获得解密结果；
157.通过校验算法对可执行文件中标准名称的节的内容进行计算，获得第一校验结果；
158.将所述第一校验结果与所述解密结果进行对比；
159.响应于对比结果不一致，结束可执行文件的加载进程，并产生告警。
160.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
161.通过编译器将代码转化成可执行文件，并在所述可执行文件中新增一个非标准名称的节；
162.其中，所述可执行文件中包括至少一个标准名称的节。
163.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
164.所述带有加密结果的可执行文件通过签名机对根据校验算法计算可执行文件中标准名称的节的内容获得的第二校验结果进行加密，并将所述加密结果保存到所述非标准名称的节中的方式获得。
165.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
166.检查可执行文件中是否存在非标准名称的节；
167.响应于可执行文件中不存在非标准名称的节，结束可执行文件的加载进程，并产生告警。
168.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
169.将所述第一校验结果与所述解密结果进行对比；
170.响应于对比结果一致，根据系统校验器对可执行文件进行校验；
171.响应于校验成功，根据系统汇编器对所述可执行文件进行翻译解析，获得可执行机器代码；
172.将所述可执行机器代码挂载到系统指定位置，等待触发执行。
173.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
174.通过哈希函数对可执行文件中标准名称的节的内容进行计算，得到对应的哈希值；
175.将所述对应的哈希值记作校验结果。
176.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：
177.业务机产生告警的方式包括生成系统日志进行告警或向指定邮箱发送邮件进行告警，业务机产生的告警信息包括时间、用户和可执行文件名。
178.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
179.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
180.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。