[发明专利]操作系统内核运行时安全验证方法

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及对计算机操作系统内核病毒的检测、防范和清除，并确保操作系统内核安全运行的相关技术。

背景技术

现有的计算机信息安全包括很多方面。其中对病毒、木马等恶意程序的检测和防止为计算机安全的重要一环。其中，运行于计算机操作系统内核层（ker nel level)，使用了被称为rootkit技术的病毒是计算机病毒中技术含量最高，最难以检测、防止和清除的。

内核病毒是指运行于计算机操作系统内核层的病毒。使病毒运行于计算机操作系统内核层的技术称之为rootkit技术。

一般而言，现代处理器架构都有不同的特权层级，以便运行具有不同权限的软件。根据处理器架构的不同而具有不同的名称，但是其设计本意是相同的。比如广泛应用于个人计算机（PC）的英特尔的IA32处理器，其具有r0、r1、r2、r3四个不同的特权等级。操作系统的内核运行于r0等级，从而保证了操作系统内核对计算机有最高特权。而其他的应用软件以及操作系统的用户态部分的程序都运行于r3等级，对计算机硬件只拥有有限的权限，从而保证计算机的安全性。即使恶意代码入侵运行于r3的软件，也只能造成有限的破坏。

同样，广泛应用于移动领域的ARM处理器架构则拥有“用户模式”、“系统模式”、“特权模式”等多种工作模式。同样以此来确保操作系统的内核的最高权限，并限制用户软件的权限，来确保计算机系统的安全。

所谓的rootkit技术则是设法获取和操作系统内核一样的特权，侵入操作系统内核的技术。使用了rootkit技术的病毒则获取了对计算机操作的最高权限。从理论上来讲，在一个已经运行内核病毒的系统上来检测或者清除内核病毒，在现有的技术上是不可能彻底完成的工作。因为内核病毒自身具有计算机操作系统中的最高权限。而试图检测内核病毒的安全软件也只具有与之相同的权限。内核病毒可以使用多种技术隐藏自己，干扰甚至停止安全软件的运行，比如：

1.接管系统调用。如果系统管理员试图使用工具去检测硬盘是否存在内病毒时，由于系统调用已经被病毒接管，因此工具通过系统调用返回看到的系统情况很可能是病毒伪造的。比如无法看到其实存在的被病毒感染的文件等。

2.杀死或者伪造安全软件进程。由于病毒运行于内核层，可以在内核中强行终止安全软件进程的运行，甚至可进一步生成假的安全软件进程来防止被发现。亦可从内核中清除安全软件的部分功能使之成为不具备安全性的进程。

rootkit在各种架构的处理器、以及各种操作系统上都可能出现。比如现有的运行Windows各种版本的PC，以及运行Linux的服务器，以及安装了Android系统的移动设备（如手机、平板等），都有使用rootkit技术的内核病毒出现的报导。

在许多重大的网络安全事故、计算机系统攻击中，都有rootkit技术和内核病毒的出现。

发明内容

本发明的目的是提供一种操作系统内核运行时安全验证方法，这种方法可以用于计算机安全软件，能够从根本上对运行中的计算机操作系统进行检测，探知其中存在的内核病毒；并能对现有的操作系统进行防范，发现试图入侵的内核病毒，并有条件地进行清除。是对rootkit的彻底解决之道。

本发明的技术解决方案是：

一种操作系统内核运行时安全验证方法，其特殊之处在于：包括以下步骤：

步骤1]确认目标操作系统的所有内核模块文件的合法性：

静态确认目标操作系统的所有内核模块文件的合法性，并保存目标操作系统中所有的合法内核模块的完整性验证信息；

步骤2]验证内核中已经加载的模块的合法性：

通过枚举操作系统已经加载的内核模块，与步骤1中保存的完整性验证信息进行对比，从而验证内核中已经加载的模块的合法性，同时获得每个模块的每个可执行节的地址范围；

步骤3]对随时加载的新内核模块进行合法性验证：

对操作系统随时加载的新内核模块，与步骤1中保存的完整性验证信息进行对比，从而验证该新加载模块的合法性，同时获得该模块的每个可执行节的地址范围；

步骤4]重新设定处理器中所有从用户等级切换到特权等级的入口：

拦截处理器中所有从用户等级切换到特权等级的指令，并重新设定这些指令的入口，使之指向二进制翻译入口；

步骤5]对二进制翻译所要翻译的每条指令进行检查：