本發明提供一種基于Linux系統內核層Rootkit的取證方法、裝置、電子設備及存儲介質，該方法包括：獲取Rootkit的內核模塊內存地址值，根據內核模塊的內存地址值獲取隱藏內核模塊；根據隱藏內核模塊，獲取內核模塊結構體；根據內核模塊結構體和內核模塊的內存數據，完成對Rootkit的取證。只針對Rootkit內核模塊進行檢測和分析，可以極大的避免實現的復雜性，實現簡單，保證易于多系統移植適配；同時，檢測手段在內核層實現，通過較高的權限操作內核內存等底層信息，可以保證檢測的準確和可靠；最后，內核模塊是內核Rootkit實現隱藏信息的根本，從內核模塊檢測和分析入手，有利于了解惡意軟件通過何種手段實現Rootkit及獲取到隱藏的信息數據，完成取證。

技術領域

本發明涉及網絡終端安全技術領域，尤其涉及一種基于Linux系統內核層Rootkit的取證方法、裝置、電子設備及存儲介質。

背景技術

Linux是一種開源的操作系統內核，目前大量的發行版系統使用Linux內核。而且伴隨著越來越多國產操作系統的出現，Linux下的計算機安全面臨更大的挑戰，因此，針對基于Linux內核系統下的病毒木馬檢測技術越來越受到重視。

木馬等惡意軟件入侵系統后，一般會通過技術手段，隱藏自身的進程、文件、端口等信息，稱之為Rootkit。Rootkit按照實現的技術途徑一般分為兩種，應用層Rootkit和內核層Rootkit。應用層Rootkit通過在系統用戶空間編程實現，比較容易檢測識別，目前技術研究比較成熟。內核層Rootkit是一種更高級的手段，通過在具有更高權限的內核層編程達成目的，隱蔽性更強、偽裝性更好。

但是，目前針對Linux系統下的內核層Rootkit研究還相對較少，理論性居多，類似基于內核棧檢測及內核掛鉤檢測的手段在實現上較為困難繁瑣，涉及大量的內核實現細節，不易實現跨系統平臺兼容；而一些相對容易實現的檢測方案，則很容易被惡意誘導，導致檢測結果不準確，例如基于內核kallsyms 符號表檢測，該機制存在借助應用層System.map文件的情況，該文件很容易被惡意軟件修改偽裝，誤導檢測結果；與此同時，針對Linux內核Rootkit取證的技術手段和方法更是少之又少。

發明內容

有鑒于此，本發明提供了一種基于Linux系統內核層Rootkit的取證方法、裝置、電子設備及存儲介質，以解決或部分解決上述技術問題。

根據本發明的一個方面，提供了一種基于Linux系統內核層Rootkit的取證方法，所述方法包括：

獲取所述Rootkit的內核模塊內存地址值，根據所述內核模塊的內存地址值獲取隱藏內核模塊；

根據所述隱藏內核模塊，獲取內核模塊結構體；

根據所述內核模塊結構體和所述內核模塊的內存數據，完成對所述Rootkit 的取證。

可選地，所述獲取所述Rootkit的內核模塊內存地址值，所述根據所述內核模塊的內存地址值獲取隱藏內核模塊包括：

外部循環遍歷所述Rootkit的所有內核模塊內存分配鏈表，逐個分析每個內核模塊內存信息，獲取內核模塊的第一內存地址值；

內部循環遍歷所述Rootkit的內核模塊結構體鏈表，獲取內核模塊結構體，進而獲取所述內核模塊的第二內存地址值；

將第一內存地址值與第二內存地址值逐一比較判斷，判斷是否存在第一內存地址值與第二內存地址值相等的情況；如果是，則跳轉至外部循環步驟，如果否，則判斷所述內核模塊結構體鏈表是否遍歷結束；

如果否，跳轉至內部循環步驟；如果是，則將與第二內存地址值不相等的第一內存地址值對應的內核模塊記錄為隱藏內核模塊。

可選地，所述根據所述隱藏內核模塊，獲取內核模塊結構體包括：