技術領域

本發明涉及計算機技術領域，尤其涉及一種內核級rootkit檢測處理方法及系統。

背景技術

Android系統惡意軟件數量增長迅速，而對Android安全性的研究卻遠遠落后。rootkit技術是惡意程序用于隱藏自身的主要技術手段之一，其原理為：系統調用實現函數位于內核空間，而可加載內核模塊可以通過內核符號表訪問內核空間中的各種資源，這就為攻擊者通過編寫一個LKM（Loadable?Kernel?Modules?）,利用HOOK技術掛鉤系統調用以執行攻擊者代碼片段成為了可能。現有的內核級rootkit正是基于這種原理實現的。修改系統調用表的rootkit對位于系統調用表中的一些系統調用函數地址進行修改，它利用Android操作系統中的特性可加載內核模塊，將一些系統調用的地址重定向到含有惡意代碼的系統調用地址。

內核級rootkit加載進Android系統，主要是通過如下步驟執行：

1、獲取系統調用表地址?

????System.map文件包含了系統的內核符號地址，由于每次編譯內核時，內核符號有可能會發生變化，因此每次編譯都會生成一個新的System.map。System.map文件的內容格式為：線性地址?類型?符號。可通過文件搜索命令grep在文件中查找sys_call_table,例如，如下所示：

sunxz@sunxz:~/work/sdk_svn/SDK/STAOS_SDK/sourceCodeForSDK/sdk_kernel/goldfish$?grep?sys_call_table?System.map?

c0028f84?T?sys_call_table

?????從查詢結果可以看出，系統調用表的地址為c0028f84，類型字母T意思是text，表示該符號位于代碼段。類型字母小寫表示局部，大寫表示全局。

2、?實現系統調用的劫持??

????根據系統調用表地址，利用hook技術實現系統調用函數的劫持。實現方法是在rootkit模塊加載時將系統調用表中待劫持的系統調用索引替換為攻擊者定義的函數指針，如圖1：重定向系統調用所示。

????圖1以read和write系統調用展示了重定向系統調用過程。sys_read和sys_write是這兩個系統調用的實現函數，系統調用表中_NR_read和_NR_write兩個索引指向這兩個函數（圖中虛線所示）。攻擊者將系統調用表中相關索引指向的具體實現函數更改為：rootkit_read和rootkit_write（圖中實線所示），這樣當read和write被調用時，實際執行的就是攻擊者函數。

3、?執行惡意程序代碼?

????攻擊者可以在rootkit_read和（或）rootkit_write函數中增加觸發條件分支，當智能設備執行特定動作時滿足一定條件從而運行相應的指令序列。當攻擊者設定的特定條件被觸發時，攻擊者可以在相應的邏輯分支中做任何事情，比如獲取用戶關鍵信息等。

4、?實現rootkit模塊自身的隱藏???

Android系統對內核模塊的維護通過一個全局雙向鏈表來實現，該鏈表的每個節點都包括數據以及指向前驅和后繼的兩個指針。該數據結構定義在/include/linux/list.h中。list.h同時給出了鏈表的基本添加、刪除、移動及替換等操作，并將相關函數作為內核符號導出。rootkit模塊的隱藏是在模塊自身的初始化函數中，將其前驅和后繼節點的next和prev重定向以將自身從鏈表中刪除。

而與此同時，傳統的rootkit檢測技術由于各自的局限性，不能夠完全適用于Android平臺。

因此，現有技術還有待于改進和發展。

發明內容

鑒于上述現有技術的不足，本發明的目的在于提供一種內核級rootkit檢測處理方法及系統，旨在解決目前Android系統無法很好檢測內核級rootkit及進行系統恢復問題。

本發明的技術方案如下：

一種內核級rootkit檢測處理方法，其中，所述方法包括以下步驟：

A、預先在內核模塊鏈表當前節點中保存新加載模塊節點生成的簽名，并將內核模塊鏈表當前節點生成的簽名保存在所述新加載模塊節點中；