【技术实现步骤摘要】
—种内核级rootkit检测处理方法及系统
本专利技术涉及计算机
,尤其涉及一种内核级rootkit检测处理方法及系统。
技术介绍
Android系统恶意软件数量增长迅速,而对Android安全性的研究却远远落后。rootkit技术是恶意程序用于隐藏自身的主要技术手段之一,其原理为:系统调用实现函数位于内核空间,而可加载内核模块可以通过内核符号表访问内核空间中的各种资源,这就为攻击者通过编写一个LKM (Loadable Kernel Modules ),利用HOOK技术挂钩系统调用以执行攻击者代码片段成为了可能。现有的内核级rootkit正是基于这种原理实现的。修改系统调用表的rootkit对位于系统调用表中的一些系统调用函数地址进行修改,它利用Android操作系统中的特性可加载内核模块,将一些系统调用的地址重定向到含有恶意代码的系统调用地址。内核级rootkit加载进Android系统,主要是通过如下步骤执行: 1、获取系统调用表地址 System, map文件包含了系统的内核符号地址,由于每次编译内核时,内核符号有可能会发生变化,因此每次编译都会生成一个新的System, map。System, map文件的内容格式为:线性地址类型符号。可通过文件搜索命令grep在文件中查找sys_call_table,例如,如下所示: sunxzisunxz:?/work/sdk_svn/SDK/STA0S_SDK/sourceCodeForSDK/sdk_kernel/goldfish$ grep sys_call_table Sys ...
【技术保护点】
一种内核级rootkit检测处理方法,其特征在于,所述方法包括以下步骤:A、预先在内核模块链表当前节点中保存新加载模块节点生成的签名,并将内核模块链表当前节点生成的签名保存在所述新加载模块节点中;B、按照加载命令执行所述新模块的加载,判断该新加载模块节点中保存的签名与内核模块链表当前节点生成的签名是否匹配,以及判断内核模块链表当前节点中保存的签名与该新加载模块节点生成的签名是否匹配,若新加载模块节点中保存的签名与所述当前节点生成的签名不匹配和/或当前节点中保存的签名与该新加载模块节点生成的签名不匹配,则执行步骤C;C、将系统当前运行的系统调用表与预先备份的系统调用表进行比对,若比对不一致,则系统生成发现rootkit隐藏模块报告。
【技术特征摘要】
1.一种内核级IOOtkit检测处理方法,其特征在于,所述方法包括以下步骤: A、预先在内核模块链表当前节点中保存新加载模块节点生成的签名,并将内核模块链表当前节点生成的签名保存在所述新加载模块节点中; B、按照加载命令执行所述新模块的加载,判断该新加载模块节点中保存的签名与内核模块链表当前节点生成的签名是否匹配,以及判断内核模块链表当前节点中保存的签名与该新加载模块节点生成的签名是否匹配,若新加载模块节点中保存的签名与所述当前节点生成的签名不匹配和/或当前节点中保存的签名与该新加载模块节点生成的签名不匹配,则执行步骤C ; C、将系统当前运行的系统调用表与预先备份的系统调用表进行比对,若比对不一致,则系统生成发现rootkit隐藏模块报告。2.根据权利要求1所述的内核级rootkit检测处理方法,其特征在于,所述方法还包括: D、根据系统生成的发现rootkit隐藏模块的报告触发系统调用对应的恢复函数进行系统还原,所述系统还原包括系统调用表的恢复、终止恶意进程、移除可疑文件及关闭可疑网络端口。3.根据权利要求2所述的内核级rootkit检测处理方法,其特征在于,所述步骤D中系统调用表的恢复具体为: 在内核空间中为每个系统调用函数分配空间,并根据所述备份的系统调用表建立正确的系统调用函数; 在内核空间中为待恢复的系统调用表分配空间,根据所述备份的系统调用表使待恢复的系统调用表中的表项指向正确的系统调用函数地址。`4.根据权利要求2所述的内核级rootkit检测处理方法,其特征在于,所述步骤D中终止恶意进程具体为: 访问内核进程链表获取系统中运行的进程信息,将所获取的系统中运行的进程信息与/proc目录中的进程信息进行比对,若所获取的系统中运行的进程信息中有不在/proc目录中的进程,则消除该恶意进程。5.根据权利要求3或4所述的内核级rootkit检测处理方法,其特征在于,所述步骤D中移除可疑文件具体为:在所述终止恶意进程中获取恶意进程名称,并根据该恶意进程名称在已恢复的系统调用表中抓取可疑关键信息字段,将该可疑关键信息字段在包含隐藏文件在内的所有文件中进行匹配,从而获取包含该可疑关键信息字段的可疑文件,通过执行rm命令删除该可疑文件。6.根据权利要求5所述的内核级rootkit检测处理方法,其特征在于,所述步骤D中关闭可疑网络端口具体为:检测系统所有已打开网络端口中是否存在包含所述...
【专利技术属性】
技术研发人员:孙向作,
申请(专利权)人:TCL集团股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。