[发明专利]文件隐藏rootkit检测方法及装置

说明书

本发明提供了一种文件隐藏rootkit检测方法及装置，方法包括：基于待检测系统对外提供的外部接口，通过遍历方式获取所述待检测系统表层的磁盘文件的属性信息；基于待检测系统对内提供的内核接口，通过遍历方式获取所述待检测系统底层的磁盘文件的属性信息；基于获取的磁盘文件的属性信息，比对底层相对于表层的磁盘文件中是否存在差异文件；根据比对结果确定是否检测到rootkit。本方案，能够准确的检测出运行时文件隐藏的rootkit。

技术领域

本发明实施例涉及信息安全技术领域，特别涉及一种文件隐藏rootkit检测方法及装置。

背景技术

rootkit作为攻击Linux系统的强有力的工具，已经深入地侵入到PC之中，具有很强的隐藏性和难以清除的问题。目前，内核态rootkit主要为LKM(Loadable KernelModules，可加载内核模块)入侵方式。针对运行时文件隐藏的rootkit，如何进行准确检测成为亟需解决的技术问题。

发明内容

本发明实施例提供了一种文件隐藏rootkit检测方法及装置，能够准确的检测出运行时文件隐藏的rootkit。

第一方面，本发明实施例提供了一种文件隐藏rootkit检测方法，包括：

S1、基于待检测系统对外提供的外部接口，通过遍历方式获取所述待检测系统表层的磁盘文件的属性信息；

S2、基于待检测系统对内提供的内核接口，通过遍历方式获取所述待检测系统底层的磁盘文件的属性信息；

S3、基于获取的磁盘文件的属性信息，比对底层相对于表层的磁盘文件中是否存在差异文件；

S4、根据比对结果确定是否检测到rootkit。

在一种可能的实现方式中，所述属性信息至少包括：挂载点、文件名、文件长度和文件类型中的一种或多种。

在一种可能的实现方式中，所述比对底层相对于表层的磁盘文件中是否存在差异文件，包括：

当底层的第一磁盘文件未存在于表层中时，则将所述第一磁盘文件确定为存在的差异文件；

当底层和表层均存在相同挂载点、相同文件名且相同文件类型对应的第二磁盘文件时，若所述第二磁盘文件在底层的文件长度大于所述第二磁盘文件在表层的文件长度时，则将所述第二磁盘文件确定为存在的差异文件。

在一种可能的实现方式中，所述根据比对结果确定是否检测到rootkit，包括：

基于多次执行S1～S3得到的多个比对结果，若多个比对结果中均存在相同差异文件，则确定检测到rootkit。

在一种可能的实现方式中，在所述确定检测到rootkit之后，还包括：

确定该相同差异文件对应的系统调用API；

根据该API确定系统调用的内存地址；

确定所述内存地址是否具有加载模块。

在一种可能的实现方式中，对所述待检测系统表层磁盘文件的遍历时间与对所述待检测系统底层磁盘文件的遍历时间之间的时长不超设定时长。

第二方面，本发明实施例还提供了一种文件隐藏rootkit检测装置，包括：

第一获取单元，用于基于待检测系统对外提供的外部接口，通过遍历方式获取所述待检测系统表层的磁盘文件的属性信息；

第二获取单元，用于基于待检测系统对内提供的内核接口，通过遍历方式获取所述待检测系统底层的磁盘文件的属性信息；

比对单元，用于基于获取的磁盘文件的属性信息，比对底层相对于表层的磁盘文件中是否存在差异文件；