[发明专利]Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置

权利要求书

1.一种Linux下基于elf二进制标准解析的内核Rootkit检测方法，其特征在于，包括：

加载待测内核，读取其中内核文件或者内核模块文件到内存；

读取内核及内核模块的elf文件中代码段和只读数据段的内容；

将读取到的代码段和只读数据段内容与运行中的待测内核的代码区和只读数据区进行逐一比对获取差异；

若差异出现在只读数据段则直接判定为内核Rootkit；若差异出现在代码段，则需进一步排除差异是否属于内核运行时的修改，如果不是则判定为内核Rootkit。

2.如权利要求1所述的方法，其特征在于，所述加载待测内核，具体为：通过在应用层使用insmod命令直接加载待测内核。

3.如权利要求1所述的方法，其特征在于，所述读取内核及内核模块的elf文件中代码段和只读数据段的内容，具体为：针对内核文件，获取段表起始地址和大小，解析段表来获取内核及内核模块文件的表段段起始地址、大小、名称和标志类型；针对内核模块文件，在获取段表起始地址和大小，解析段表来获取内核及内核模块文件的表段段起始地址、大小、名称和标志类型的基础上，还需要循环扫描所有的表段，根据获取的表段起始地址和大小，将所有表段段起始地址与运行中的待测内核模块的加载地址偏移相加，模拟内核模块实际的运行加载地址，并且针对内核模块中标志类型为SHT_SYMTAB的表段中描述的所有未定义符号，解析运行中内核的符号进行填充，循环遍历所有类型为“SHT_RELA段”的重定位表段并按照elf标准规则进行相应的计算填充。

4.如权利要求3所述的方法，其特征在于，所述获取段表起始地址和大小，解析段表来获取内核及内核模块文件的表段段起始地址、大小、名称和标志类型，具体为：所述内核及内核模块文件的表段包括：.text代码段，.rodata只读数据段，.data段,.smp_locks段，.strtab段,.altinstructions段，.parainstructions段，SHT_SYMTAB段，SHT_RELA段；所述获取内核及内核模块文件的表段段起始地址和大小和名称和标志类型，包括：解析出elf文件格式中段表的起始位置和大小，并循环扫描所有的段信息，根据段名称，解析elf文件格式头包含需要解析的对比的代码段和只读数据段在内存中的地址，具体为：根据运行中待测内核的jump_table相关符号地址，解析elf文件格式头包含需要解析的内核自身修改自身所需要的包含在.data表地址中的.jump_table表信息地址；根据段名称，解析elf文件格式头包含需要解析的内核自身修改自身所需要的.smp_locks表地址；根据段名称，解析elf文件格式头包含需要解析的内核自身修改自身所需要的.altinstructions表地址；根据段名称，解析elf文件格式头包含需要解析的内核自身修改自身所需要的.parainstructions表地址；根据段标志，解析elf文件格式头包含需要解析的内核模块所需要的判断类型为SHT_SYMTAB的表地址，根据类型为SHT_SYMTAB的表，解析elf文件格式头包含需要辅助使用的.strtab表地址；根据段标志，解析elf文件格式头包含需要解析的内核模块所需要的判断类型为SHT_RELA的全部表地址。

5.如权利要求4所述方法，其特征在于，所述排除差异是否属于内核运行时的修改体为：排除差异为内核运行时修改，需要对内核及内核模块的elf可执行文件中包含的运行时修改表段进行解析，判断内容不同的地址是否属于运行时修改；排除差异为内核运行时修改，需要对是否是内核xsaveopt和fentry机制进行判断，判断内容不同的地址是否属于这两种机制。