【技术实现步骤摘要】
Linux内核模块执行进程的检测方法及装置
[0001]本专利技术实施例涉及Rootkit检测
,尤其涉及一种Linux内核模块执行进程的检测方法及装置。
技术介绍
[0002]研究发现,目前许多基于Linux内核的Rootkit为了躲避基于系统调用(system call)的挂钩(hook)检测,采用在Linux内核发起进程的调用和执行,从而达到隐藏自身以及躲避追踪的目的。其中,Rootkit是一种特殊的恶意软件,功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。而现有技术中,尚未有针对Linux内核的Rootkit的有效检测方法。
技术实现思路
[0003]基于现有技术的上述情况,本专利技术实施例的目的在于提供一种Linux内核模块执行进程的检测方法及装置,通过检测从Linux内核模块发起的进程调用执行,从而追踪到具体的内核模块并对执行进程的操作进行阻断。
[0004]为达到上述目的,根据本专利技术的一个方面,提供了一种Linux内核模块执行进程的检测方法,包括步骤:
[...
【技术保护点】
【技术特征摘要】
1.一种Linux内核模块执行进程的检测方法,其特征在于,包括步骤:在Linux环境下,执行驱动安装程序,调用第一注册函数向第一注册点注册第一回调函数,向第二注册点注册第二回调函数;在第一回调函数中,当判断该进程为Linux内核创建的线程时,则生成一个保存有struct subprocess_info对象的指针和该进程的tgid的对象,并将其插入构建的缓存列表中;所述struct subprocess_info对象保存对应于该进程可执行程序的路径、参数和环境变量的指针;在第二回调函数中,若该进程的tgid存在于缓存列表中,则从缓存列表中获取struct subprocess_info对象的指针;若该struct subprocess_info对象中可执行程序的的路径、参数和环境变量的指针未存在于Linux的任一内核模块中,则判断该进程由恶意Rootkit内核模块发起执行。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若该struct subprocess_info对象中可执行程序的路径、参数和环境变量的指针存在于Linux的任一内核模块中,且该任一内核模块已被判断为恶意模块,则判断该进程由恶意Rootkit内核模块发起执行。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:当判断该进程由恶意Rootkit内核模块发起执行时,第二回调函数返回
‑
EPERM标识,并阻断该进程执行。4.根据权利要求1所述的方法,其特征在于,所述方法还包括卸载驱动程序:解注册第一注册函数,解注册第二注册函数。5.一种Linux内核模块执行进程的检测装置,其特征在于,包括:回调函数注册模块,用于在Linux环境下,执行驱动安装程序,调用第一注册函数向第一注册点注册第一回调函数,向第二注册点注册第二回调函数;第一回调函数处理模块,用于在第一回调函数中,当判断该进程为Linu...
【专利技术属性】
技术研发人员:赵克奉,姜向前,鲍春杰,
申请(专利权)人:安芯网盾北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。