[发明专利]检测计算机系统内隐藏的对象

权利要求书

1.一种用于检测隐藏对象的计算机系统，所述系统包括：

计算机电路，至少具有连接到存储器配置的处理器，所述计算机电路被配置为至少执行操作系统和安全配置；

其中，所述操作系统适合于帮助实现多个进程的执行以及提供至少一个原生服务模块，所述至少一个原生服务模块响应由所述多个进程的至少其中之一做出的请求，返回与所述计算机系统中至少一个对象有关的第一组所请求的信息；以及

其中，所述安全配置包括：

次级服务模块，所述次级服务模块适合于响应由所述多个进程的至少一个已授权的进程做出的请求，生成和返回与所述计算机系统中所述至少一个对象有关的第二组所请求的信息，其中，在生成所述第二组所请求的信息的过程中，所述次级服务模块绕过所述至少一个原生服务模块；

访问限制模块，所述访问限制模块限制对所述次级服务模块的访问，从而仅仅允许所述至少一个已授权的进程访问所述次级服务模块；和

比较模块，适合于比较所述第一组所请求的信息和所述第二组请求的信息以生成比较结果，并且基于所述比较结果，确定任一不在所述第一组所请求的信息中的对象是否存在于所述第二组所请求的信息中。

2.如权利要求1所述的计算机系统，其中所述至少一个原生服务模块包含所述操作系统的至少一部分内核。

3.如权利要求1所述的计算机系统，其中所述至少一个原生服务模块包含所述操作系统的至少一部分内核和至少一个驱动器，以及，其中所述安全配置包括第一类次级服务模块和第二类次级服务模块，所述第一类次级服务模块执行所述操作系统的所述至少一部分内核的至少一些功能，所述第二类次级服务模块执行所述至少一个驱动器的至少一些功能。

4. 如权利要求1所述的计算机系统，其中所述至少一个原生服务模块包含设备驱动器的至少一部分。

5. 如权利要求1所述的计算机系统，其中所述次级服务模块基本上包括所述原生服务模块的全部功能。

6.如权利要求1所述的计算机系统，其中所述次级服务模块具有不同于所述原生服务模块的架构。

7.如权利要求1所述的计算机系统，其中所述至少一个对象选自：至少一个文件、至少一个驱动器、至少一个进程、至少一个寄存器、至少一个注册表项、至少一个动态库、至少一个存储设备或其任意组合。

8.如权利要求1所述的计算机系统，其中所述访问限制模块适合于对每个请求访问所述次级服务模块的进程来施加认证检查，以仅仅允许那些能够通过所述认证检查的进程来访问所述次级服务模块。

9.如权利要求1所述的计算机系统，其中所述比较模块进一步适合于分析被发现不在所述第一组所请求的信息中但存在于所述第二组所请求的信息中的对象的属性，以确定所述对象不存在于所述第一组中是否表示在所述计算机系统中存在rootkit。

10.如权利要求1所述的计算机系统，其中所述访问限制模块适合于仅仅允许预定的与所述比较模块相关的至少一个进程来访问所述次级服务模块。

11.如权利要求1所述的计算机系统，其中所述安全配置进一步地包含安全应用程序，所述安全应用程序运行在用户空间中，并且当被执行时，在所述操作系统中生成特定安全线程；以及

其中在所述安全配置中，所述特定安全线程被送达所述次级服务模块。