[发明专利]一种基于双HASH验证的主机防御方法和系统

权利要求书

1.一种基于双HASH验证的主机防御方法，其特征在于，包括如下步骤：

(1)获取主机中的可执行文件，对该可执行文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是则加载该可执行文件，然后转入步骤(2)，否则阻止加载该可执行文件，然后过程结束。

(2)从主机的磁盘内读取该可执行文件的分片，对该分片所属的可执行文件进行第二HASH计算，并判断哈希计算的结果是否存在于预先存储的第二白名单数据库中，如果是则读取该分片上的数据，过程结束，否则阻止对该分片上数据的读取，过程结束。

2.根据权利要求1所述的基于双HASH验证的主机防御方法，其特征在于，可执行文件可以包括.EXE进程文件、.DLL模块文件、以及.SYS模块文件中的任意一种到三种。

3.根据权利要求1或2所述的基于双HASH验证的主机防御方法，其特征在于，

第一白名单数据库的建立过程如下：遍历主机中的所有可执行文件，对每个可执行文件进行第一HASH计算，以得到每个可执行文件对应的第一计算结果，并将得到的所有可执行文件对应的第一计算结果存储在第一白名单数据库中；

第二白名单数据库的建立过程如下：遍历主机中的所有可执行文件，对每个可执行文件进行第二HASH计算，以得到每个可执行文件对应的第二计算结果，并将得到的所有可执行文件对应的第二计算结果存储在第二白名单数据库中。

4.根据权利要求1至3中任意一项所述的基于双HASH验证的主机防御方法，其特征在于，

第一HASH计算是使用MD5算法对可执行文件中的所有内容进行计算，以得到第一计算结果；

第二HASH计算是使用的MD5算法对可执行文件中的前M个字节进行MD5计算，以得到第二计算结果，其中M的取值范围是2的8次方到2的12次方之间，优选等于512。

5.根据权利要求1所述的基于双HASH验证的主机防御方法，其特征在于，当可执行文件是.EXE进程文件时，步骤(1)具体为，首先使用服务管理器函数启动用于监控.EXE进程文件加载的驱动程序，其后使用该驱动程序的入口函数创建驱动程序的设备对象，用PsSetCreateProcessNotifyRoutineEx函数注册用于监控.EXE进程文件加载的回调函数，然后设备对象调用该回调函数过滤当前的.EXE进程文件，回调函数中是对当前的.EXE进程文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是，则不对回调函数做操作，加载该.EXE进程文件，然后进入步骤(2)；否则将回调函数的参数状态设置为STATUS_UNSUCCESSFUL，表示加载该.EXE进程文件的请求不通过，阻止加载该.EXE进程文件，然后过程结束。

6.根据权利要求1所述的基于双HASH验证的主机防御方法，其特征在于，当可执行文件是.DLL模块文件或.SYS模块文件时，步骤(1)具体为，首先使用服务管理器函数启动用于监控.DLL或.SYS模块文件加载的驱动程序，其后使用驱动程序的入口函数创建驱动的设备对象，用PsSetLoadImageNotifyRoutine函数注册用于监控.DLL或.SYS模块文件加载的回调函数；然后设备对象调用该回调函数过滤当前.DLL模块文件或.SYS模块文件，回调函数中是对当前的.DLL或.SYS模块文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是，则不对回调函数做操作，加载该.DLL模块文件或.SYS模块文件，然后进入步骤(2)；否则回调函数调用DenyLoadDriver，阻止加载该.DLL模块文件或.SYS模块文件，然后过程结束。