本發(fā)明公開(kāi)了一種Linux下基于elf二進(jìn)制標(biāo)準(zhǔn)解析的內(nèi)核Rootkit檢測(cè)方法、裝置及存儲(chǔ)設(shè)備，涉及網(wǎng)絡(luò)安全領(lǐng)域，包括：加載待測(cè)內(nèi)核，讀取其中內(nèi)核文件或者內(nèi)核模塊文件到內(nèi)存；讀取內(nèi)核及內(nèi)核模塊的elf文件中代碼段和只讀數(shù)據(jù)段的內(nèi)容；將讀取到的代碼段和只讀數(shù)據(jù)段內(nèi)容與運(yùn)行中的待測(cè)內(nèi)核的代碼區(qū)和只讀數(shù)據(jù)區(qū)進(jìn)行逐一比對(duì)獲取差異；若差異出現(xiàn)在只讀數(shù)據(jù)段則直接判定為內(nèi)核Rootkit；若差異出現(xiàn)在代碼段，則需進(jìn)一步排除差異是否屬于內(nèi)核運(yùn)行時(shí)的修改，如果不是則判定為內(nèi)核Rootkit，解決了當(dāng)前內(nèi)核Rootkit檢測(cè)技術(shù)多是針對(duì)Rootkit行為策略的檢測(cè)技術(shù)，無(wú)法全面的對(duì)系統(tǒng)進(jìn)行檢測(cè)的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種Linux下基于elf二進(jìn)制標(biāo)準(zhǔn)解析的內(nèi)核Rootkit檢測(cè)方法、裝置及存儲(chǔ)設(shè)備。

背景技術(shù)

目前中國(guó)各個(gè)重要領(lǐng)域的基礎(chǔ)設(shè)施都已經(jīng)實(shí)現(xiàn)網(wǎng)絡(luò)化、信息化、數(shù)據(jù)化，各項(xiàng)基礎(chǔ)設(shè)施的核心部件都離不開(kāi)網(wǎng)絡(luò)信息系統(tǒng)，Linux系統(tǒng)一直是服務(wù)器系統(tǒng)的主流選擇，而隨著國(guó)產(chǎn)操作系統(tǒng)時(shí)代的到來(lái)，基于類(lèi)Linux系統(tǒng)平臺(tái)的各種國(guó)產(chǎn)操作系統(tǒng)也不斷投入市場(chǎng)，針對(duì)Linux下的病毒木馬檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全研究的核心問(wèn)題之一，Rootkit作為攻擊Linux系統(tǒng)的必備手段，幾乎可以隱藏任何惡意代碼程序和操作，包括但不限于進(jìn)程、網(wǎng)絡(luò)端口、文件、內(nèi)核模塊等，并且隨著技術(shù)的發(fā)展已經(jīng)逐步進(jìn)化成從應(yīng)用層深入到內(nèi)核層，甚至可以深入到硬件層面，隱藏性更高難以發(fā)現(xiàn)系統(tǒng)軟件中惡意的文件和進(jìn)程。

目前針對(duì)Linux系統(tǒng)的Rootkit檢測(cè)工具多數(shù)是應(yīng)用層的Rootkit檢測(cè)，主流的Linux內(nèi)核層Rootkit檢測(cè)手段有限，常用的手段有基于特征碼檢測(cè)、基于內(nèi)核棧檢測(cè)、基于VMM的Rootkit檢測(cè)技術(shù)、基于內(nèi)核掛鉤檢測(cè)、基于內(nèi)核內(nèi)存檢測(cè)、基于內(nèi)核kallsyms符號(hào)表檢測(cè)等。這些檢測(cè)技術(shù)一般存在著一定的局限性，有的僅僅針對(duì)檢測(cè)特定的內(nèi)核Rootkit手段，或者針對(duì)某一特定環(huán)境；基于特征碼檢測(cè)只能通過(guò)分析現(xiàn)有的內(nèi)核Rootkit檢測(cè)技術(shù)，提取特征碼然后做特定檢測(cè)處理，不能檢測(cè)未知手段的內(nèi)核Rootkit；基于內(nèi)核kallsyms符號(hào)表檢測(cè)、基于內(nèi)核掛鉤檢測(cè)、基于內(nèi)核棧檢測(cè)，都是通過(guò)函數(shù)地址信息，對(duì)函數(shù)地址進(jìn)行檢測(cè)，只能檢測(cè)使用一般HOOK技術(shù)手段的Rootkit,不能檢測(cè)使用INLINE HOOK技術(shù)的Rootkit情況；基于內(nèi)核kallsyms符號(hào)表檢測(cè)，該機(jī)制還存在借助外部System.map文件的情況，而該文件是容易被篡改利用的可讀文件，導(dǎo)致檢測(cè)結(jié)果不準(zhǔn)確，而且System.map文件不包含內(nèi)核模塊的函數(shù)表信息，不能檢測(cè)內(nèi)核模塊中的Rootkit；基于VMM的Rootkit檢測(cè)只針對(duì)特定環(huán)境；

綜上所述，目前主流內(nèi)核Rootkit檢測(cè)技術(shù)多是針對(duì)Rootkit行為策略的檢測(cè)技術(shù)，存在缺點(diǎn)和不足，無(wú)法全面的對(duì)系統(tǒng)進(jìn)行檢測(cè)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種Linux下基于elf二進(jìn)制標(biāo)準(zhǔn)解析的內(nèi)核Rootkit檢測(cè)方法、裝置及存儲(chǔ)設(shè)備，解決了目前主流內(nèi)核Rootkit檢測(cè)技術(shù)多是針對(duì)Rootkit行為策略的檢測(cè)技術(shù)，存在缺點(diǎn)和不足無(wú)法全面的對(duì)系統(tǒng)進(jìn)行檢測(cè)的問(wèn)題。

第一方面，本發(fā)明提供了一種Linux下基于elf二進(jìn)制標(biāo)準(zhǔn)解析的內(nèi)核Rootkit檢測(cè)方法，包括：

加載待測(cè)內(nèi)核，讀取其中內(nèi)核文件或者內(nèi)核模塊文件到內(nèi)存；

讀取內(nèi)核及內(nèi)核模塊的elf文件中代碼段和只讀數(shù)據(jù)段的內(nèi)容；

將讀取到的代碼段和只讀數(shù)據(jù)段內(nèi)容與運(yùn)行中的待測(cè)內(nèi)核的代碼區(qū)和只讀數(shù)據(jù)區(qū)進(jìn)行逐一比對(duì)獲取差異；

若差異出現(xiàn)在只讀數(shù)據(jù)段則直接判定為內(nèi)核Rootkit；若差異出現(xiàn)在代碼段，則需進(jìn)一步排除差異是否屬于內(nèi)核運(yùn)行時(shí)的修改，如果不是則判定為內(nèi)核Rootkit。

進(jìn)一步地，所述加載待測(cè)內(nèi)核，具體為：通過(guò)在應(yīng)用層使用insmod命令直接加載。