1.一種內(nèi)核級rootkit檢測處理方法，其特征在于，所述方法包括以下步驟：

A、預(yù)先在內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)中保存新加載模塊節(jié)點(diǎn)生成的簽名，并將內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)生成的簽名保存在所述新加載模塊節(jié)點(diǎn)中；

B、按照加載命令執(zhí)行所述新模塊的加載，判斷該新加載模塊節(jié)點(diǎn)中保存的簽名與內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)生成的簽名是否匹配，以及判斷內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)中保存的簽名與該新加載模塊節(jié)點(diǎn)生成的簽名是否匹配，若新加載模塊節(jié)點(diǎn)中保存的簽名與所述當(dāng)前節(jié)點(diǎn)生成的簽名不匹配和/或當(dāng)前節(jié)點(diǎn)中保存的簽名與該新加載模塊節(jié)點(diǎn)生成的簽名不匹配，則執(zhí)行步驟C；

C、將系統(tǒng)當(dāng)前運(yùn)行的系統(tǒng)調(diào)用表與預(yù)先備份的系統(tǒng)調(diào)用表進(jìn)行比對，若比對不一致，則系統(tǒng)生成發(fā)現(xiàn)rootkit隱藏模塊報告。

2.根據(jù)權(quán)利要求1所述的內(nèi)核級rootkit檢測處理方法，其特征在于，所述方法還包括：

D、根據(jù)系統(tǒng)生成的發(fā)現(xiàn)rootkit隱藏模塊的報告觸發(fā)系統(tǒng)調(diào)用對應(yīng)的恢復(fù)函數(shù)進(jìn)行系統(tǒng)還原，所述系統(tǒng)還原包括系統(tǒng)調(diào)用表的恢復(fù)、終止惡意進(jìn)程、移除可疑文件及關(guān)閉可疑網(wǎng)絡(luò)端口。

3.根據(jù)權(quán)利要求2所述的內(nèi)核級rootkit檢測處理方法，其特征在于，所述步驟D中系統(tǒng)調(diào)用表的恢復(fù)具體為：

在內(nèi)核空間中為每個系統(tǒng)調(diào)用函數(shù)分配空間，并根據(jù)所述備份的系統(tǒng)調(diào)用表建立正確的系統(tǒng)調(diào)用函數(shù)；

在內(nèi)核空間中為待恢復(fù)的系統(tǒng)調(diào)用表分配空間，根據(jù)所述備份的系統(tǒng)調(diào)用表使待恢復(fù)的系統(tǒng)調(diào)用表中的表項(xiàng)指向正確的系統(tǒng)調(diào)用函數(shù)地址。

4.根據(jù)權(quán)利要求2所述的內(nèi)核級rootkit檢測處理方法，其特征在于，所述步驟D中終止惡意進(jìn)程具體為：

訪問內(nèi)核進(jìn)程鏈表獲取系統(tǒng)中運(yùn)行的進(jìn)程信息，將所獲取的系統(tǒng)中運(yùn)行的進(jìn)程信息與/proc目錄中的進(jìn)程信息進(jìn)行比對，?若所獲取的系統(tǒng)中運(yùn)行的進(jìn)程信息中有不在/proc目錄中的進(jìn)程，則消除該惡意進(jìn)程。

5.根據(jù)權(quán)利要求3或4所述的內(nèi)核級rootkit檢測處理方法，其特征在于，所述步驟D中移除可疑文件具體為：在所述終止惡意進(jìn)程中獲取惡意進(jìn)程名稱，并根據(jù)該惡意進(jìn)程名稱在已恢復(fù)的系統(tǒng)調(diào)用表中抓取可疑關(guān)鍵信息字段，將該可疑關(guān)鍵信息字段在包含隱藏文件在內(nèi)的所有文件中進(jìn)行匹配，從而獲取包含該可疑關(guān)鍵信息字段的可疑文件，通過執(zhí)行rm命令刪除該可疑文件。

6.根據(jù)權(quán)利要求5所述的內(nèi)核級rootkit檢測處理方法，其特征在于，所述步驟D中關(guān)閉可疑網(wǎng)絡(luò)端口具體為：檢測系統(tǒng)所有已打開網(wǎng)絡(luò)端口中是否存在包含所述可疑關(guān)鍵信息字段的網(wǎng)絡(luò)端口，若存在，則關(guān)閉該網(wǎng)絡(luò)端口。

7.根據(jù)權(quán)利要求1所述的內(nèi)核級rootkit檢測處理方法，其特征在于，當(dāng)所述新加載模塊節(jié)點(diǎn)中保存的簽名與所述當(dāng)前節(jié)點(diǎn)生成的簽名匹配且所述當(dāng)前節(jié)點(diǎn)中保存的簽名與所述新加載模塊節(jié)點(diǎn)生成的簽名也匹配，同時系統(tǒng)當(dāng)前運(yùn)行的系統(tǒng)調(diào)用表與預(yù)先備份的系統(tǒng)調(diào)用表經(jīng)比對一致，則所述新加載模塊加入內(nèi)核模塊鏈表，所述當(dāng)前節(jié)點(diǎn)重新生成簽名并更新保存在所述新加載模塊節(jié)點(diǎn)中，所述新加載模塊節(jié)點(diǎn)重新生成簽名并更新保存在所述當(dāng)前節(jié)點(diǎn)中。

8.根據(jù)權(quán)利要求7所述的內(nèi)核級rootkit檢測處理方法，其特征在于，當(dāng)內(nèi)核模塊卸載時，更新內(nèi)核模塊鏈表中該內(nèi)核模塊前后節(jié)點(diǎn)中的簽名信息。

9.一種內(nèi)核級rootkit檢測處理系統(tǒng)，其特征在于，所述系統(tǒng)包括：

簽名設(shè)置模塊，用于預(yù)先在內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)中保存新加載模塊節(jié)點(diǎn)生成的簽名，并將內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)生成的簽名保存在所述新加載模塊節(jié)點(diǎn)中；

簽名匹配模塊，用于判斷該新加載模塊節(jié)點(diǎn)中保存的簽名與內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)生成的簽名是否匹配，以及判斷內(nèi)核模塊鏈表當(dāng)前節(jié)點(diǎn)中保存的簽名與該新加載模塊節(jié)點(diǎn)生成的簽名是否匹配；

系統(tǒng)調(diào)用表比對模塊，用于將系統(tǒng)當(dāng)前運(yùn)行的系統(tǒng)調(diào)用表與預(yù)先備份的系統(tǒng)調(diào)用表進(jìn)行比對；

報告生成模塊，用于根據(jù)簽名匹配模塊和系統(tǒng)調(diào)用表比對模塊的處理結(jié)果生成發(fā)現(xiàn)rootkit隱藏模塊報告。

10.根據(jù)權(quán)利要求9所述的內(nèi)核級rootkit檢測處理系統(tǒng)，其特征在于，所述系統(tǒng)還包括：

系統(tǒng)調(diào)用表恢復(fù)模塊，用于在內(nèi)核空間中為每個系統(tǒng)調(diào)用函數(shù)及待恢復(fù)的系統(tǒng)調(diào)用表分配空間，并根據(jù)所述備份的系統(tǒng)調(diào)用表建立正確的系統(tǒng)調(diào)用函數(shù)，以及根據(jù)所述備份的系統(tǒng)調(diào)用表使待恢復(fù)的系統(tǒng)調(diào)用表中的表項(xiàng)指向正確的系統(tǒng)調(diào)用函數(shù)地址；

惡意進(jìn)程終止模塊，用于訪問內(nèi)核進(jìn)程鏈表獲取系統(tǒng)中運(yùn)行的進(jìn)程信息，將所獲取的系統(tǒng)中運(yùn)行的進(jìn)程信息與/proc目錄中的進(jìn)程信息進(jìn)行比對，并根據(jù)比對結(jié)果消除該惡意進(jìn)程；

可疑文件移除模塊，用于獲取惡意進(jìn)程名稱，并根據(jù)該惡意進(jìn)程名稱在已恢復(fù)的系統(tǒng)調(diào)用表中抓取可疑關(guān)鍵信息字段，將該可疑關(guān)鍵信息字段在包含隱藏文件在內(nèi)的所有文件中進(jìn)行匹配，從而獲取包含該可疑關(guān)鍵信息字段的可疑文件，通過執(zhí)行rm命令刪除該可疑文件；

可疑網(wǎng)絡(luò)端口關(guān)閉模塊，用于接收用戶指令查看系統(tǒng)所有已打開網(wǎng)絡(luò)端口，并將其與預(yù)存的常規(guī)網(wǎng)絡(luò)端口列表進(jìn)行比對，并根據(jù)比對結(jié)果關(guān)閉異常網(wǎng)絡(luò)端口。