利索能及
我要发布
收藏
专利号: 2018107064572
申请人: 平安科技(深圳)有限公司
专利类型:发明专利
专利状态:已下证
更新日期:2026-07-01
缴费截止日期: 暂无
联系人

摘要:

权利要求书:

1.一种恶意软件rootkit检测方法,其特征在于,该方法应用于linux系统,所述linux系统包括预先备份有系统调用表和比较程序的安全备份区,所述linux系统分为用户态ring3态和内核态ring0态,包括:在检测到所述linux系统运行时,加载预先部署在所述linux系统中的内核模块;

在检测到所述内核模块加载完成的情况下,触发所述内核模块中的获取程序获取所述ring0态中的当前系统调用表;

从所述安全备份区获取预先备份的所述系统调用表,并获取所述ring3态中的比较程序,以及所述安全备份区中预先备份的所述比较程序;

比较所述ring3态中的比较程序和所述安全备份区中的比较程序是否一致;

若所述ring3态中的比较程序和所述安全备份区中的比较程序不一致,确定所述ring3态中的比较程序被篡改;

若所述ring3态中的比较程序和所述安全备份区中的比较程序一致,调用所述ring3态中的比较程序确定所述安全备份区中预先备份的所述系统调用表与获取的所述当前系统调用表是否一致;

若预先备份的所述系统调用表与获取的所述当前系统调用表不一致,则确定所述linux系统的所述ring0态被rootkit攻击。

2.根据权利要求1所述的方法,其特征在于,所述确定所述linux系统的所述ring0态被rootkit攻击之后,所述方法还包括:确定所述ring0态中的所述当前系统调用表的内存地址;

根据所述内存地址查找到所述当前系统调用表,并利用所述预先备份的所述系统调用表替换所述当前系统调用表。

3.根据权利要求2所述的方法,其特征在于,所述确定所述ring0态中的所述当前系统调用表的内存地址,包括:获取所述linux系统中的系统调用表地址文件,所述文件记录了所述ring0态中的所述当前系统调用表的内存地址与预先备份的所述系统调用表的映射关系;

根据所述映射关系和所述预先备份的所述系统调用表,从所述系统调用表地址文件中确定出所述当前系统调用表的内存地址。

4.根据权利要求2所述的方法,其特征在于,所述确定所述ring0态的所述当前系统调用表的内存地址,包括:获取所述linux系统中的中断描述符表IDT,并根据所述IDT确定出中断int0×80的入口点;

将从所述入口点往后移三个字节所在的地址确定为所述ring0态中的所述当前系统调用表的内存地址。

5.根据权利要求1‑4任一项所述的方法,其特征在于,所述加载预先部署在所述linux系统中的内核模块,包括:调用所述linux系统的驱动程序启动加载过程;

在所述加载过程启动后,调用模块加载函数将预先部署的内核模块嵌入所述ring0态。

6.根据权利要求1‑4任一项所述的方法,其特征在于,所述确定所述安全备份区中预先备份的所述系统调用表与获取的所述当前系统调用表不一致后,所述方法还包括:获取所述当前系统调用表的函数地址,并输出告警信息,所述告警信息用于提示用户位于所述函数地址的所述当前系统调用表已被篡改。

7.一种恶意软件rootkit检测装置,其特征在于,该装置应用于linux系统,所述linux系统包括预先备份有系统调用表和比较程序的安全备份区,所述linux系统分为用户态ring3态和内核态ring0态,包括:加载模快,用于在检测到所述linux系统运行时,加载预先部署在所述linux系统中的内核模块;

获取模块,用于在检测到所述内核模块加载完成的情况下,触发所述内核模块中的获取程序获取所述ring0态中的当前系统调用表;

所述获取模块,还用于从所述安全备份区获取预先备份的所述系统调用表,并获取所述ring3态中的比较程序,以及所述安全备份区中预先备份的所述比较程序;

确定模块,用于比较所述ring3态中的比较程序和所述安全备份区中的比较程序是否一致;若所述ring3态中的比较程序和所述安全备份区中的比较程序不一致,确定所述ring3态中的比较程序被篡改;若所述ring3态中的比较程序和所述安全备份区中的比较程序一致,调用所述ring3态中的比较程序确定所述安全备份区中预先备份的所述系统调用表与所述获取模块获取的所述当前系统调用表是否一致,若预先备份的所述系统调用表与获取的所述当前系统调用表不一致,则确定所述linux系统的所述ring0态被rootkit攻击。

8.一种服务器,其特征在于,包括处理器和存储装置,所述处理器和所述存储装置相互连接,其中,所述存储装置用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1‑6任一项所述的方法。

9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1‑6任一项所述的方法。