1.一種內(nèi)核級Rootkit檢測方法，其特征在于，包括：

解析System.map符號表，獲取靜態(tài)符號名稱和符號類型；

解析kallsyms符號表，獲取動態(tài)符號名稱、符號類型以及符號所屬模塊；

將kallsyms符號表與System.map符號表進(jìn)行對比，判定系統(tǒng)是否存在Rootkit行為。

2.如權(quán)利要求1所述的一種內(nèi)核級Rootkit檢測方法，其特征在于，將kallsyms符號表與System.map符號表進(jìn)行對比之前還包括：若kallsyms符號表中的符號全部為以非內(nèi)核模塊形式存在的符號，則系統(tǒng)不存在Rootkit行為；否則將kallsyms符號表與System.map符號表進(jìn)行對比。

3.如權(quán)利要求1或2所述的一種內(nèi)核級Rootkit檢測方法，其特征在于，所述將kallsyms符號表與System.map符號表進(jìn)行對比具體為；

分別計算System.map符號表與kallsyms符號表中符號的哈希值；

若kallsyms符號表中包含與System.map符號表哈希值不相同的符號，則將符號按照符號類型進(jìn)行分類；若同一類中符號的所屬模塊名稱不同，則對符號名稱按位進(jìn)行匹配；

針對匹配結(jié)果低于預(yù)設(shè)相似度的符號，判定是否存在異常進(jìn)程或存在異常行為或存在修改系統(tǒng)調(diào)用表地址或Hook文件操作系統(tǒng)調(diào)用行為，若是，則該系統(tǒng)存在rootkit行為。

4.一種內(nèi)核級Rootkit檢測系統(tǒng)，其特征在于，包括：

第一解析模塊，用于解析System.map符號表，獲取靜態(tài)符號名稱和符號類型；

第二解析模塊，用于解析kallsyms符號表，獲取動態(tài)符號名稱、符號類型以及符號所屬模塊；

對比判定模塊，用于將kallsyms符號表與System.map符號表進(jìn)行對比，判定系統(tǒng)是否存在Rootkit行為。

5.如權(quán)利要求4所述的一種內(nèi)核級Rootkit檢測系統(tǒng)，其特征在于，將kallsyms符號表與System.map符號表進(jìn)行對比之前還包括：若kallsyms符號表中的符號全部為以非內(nèi)核模塊形式存在的符號，則系統(tǒng)不存在Rootkit行為；否則將kallsyms符號表與System.map符號表進(jìn)行對比。

6.如權(quán)利要求4或5所述的一種內(nèi)核級Rootkit檢測系統(tǒng)，其特征在于，所述將kallsyms符號表與System.map符號表進(jìn)行對比具體為；

分別計算System.map符號表與kallsyms符號表中符號的哈希值；

若kallsyms符號表中包含與System.map符號表哈希值不相同的符號，則將符號按照符號類型進(jìn)行分類；若同一類中符號的所屬模塊名稱不同，則對符號名稱按位進(jìn)行匹配；

針對匹配結(jié)果低于預(yù)設(shè)相似度的符號，判定是否存在異常進(jìn)程或存在異常行為或存在修改系統(tǒng)調(diào)用表地址或Hook文件操作系統(tǒng)調(diào)用行為，若是，則該系統(tǒng)存在rootkit行為。