[发明专利]rootkit检测方法、装置及电子设备

权利要求书

1.一种rootkit检测方法，其特征在于，方法包括：

当检测到LKM内核模块加载事件发生时，获取所述LKM信息以及内核关键数据结构；

分别确定所获取到的LKM信息中各LKM的哈希值，以及，所获取到的内核关键数据结构中各内核关键数据结构的哈希值；

比较所述各LKM的哈希值与LKM基准信息，以及，比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息；所述LKM基准信息和所述内核关键数据结构基准信息由受信任的设备生产商在设备出厂时，在安全环境下预置于安全装置中，所述LKM基准信息包括LKM标识信息及对应的基准哈希值；所述内核关键数据结构基准信息包括内核关键数据结构标识信息及对应的基准哈希值；

当所述各LKM的哈希值与所述LKM基准信息一致，且所述各内核关键数据结构的哈希值与所述内核关键数据结构基准信息一致时，确定内核态rootkit检测通过；

所述获取加载的可加载内核模块LKM信息以及内核关键数据结构之前，还包括：

当终端上电启动时，依次验证引导程序的数字签名和内核/操作系统的数字签名；

当所述引导程序的数字签名和所述内核/操作系统的数字签名均验证通过时，对操作系统上的应用的数字签名进行验证，并当所述操作系统上的应用的数字签名验证通过时允许启动；

其中，所述方法还包括：

使用守护进程机制，采用动态动量方式，动态地基于LKM信息和内核关键数据结构建立行为分析树，并基于所述安全装置中预置的基准值，确定所述行为分析树是否存在异常，其中，所述行为分析树用于表示内核根基是否被非法篡改。

2.根据权利要求1所述的方法，其特征在于，所述确定内核态rootkit检测通过之后，还包括：

获取内核态进程信息，并基于所述内核态进程信息的关键属性生成内核态进程信息列表；

获取用户态进程信息，并基于所述用户态进程信息的所述关键属性生成用户态进程信息列表；

比较所述内核态进程信息列表以及所述用户态进程信息列表；

当所述内核态进程信息列表与所述用户态进程信息列表一致时，确定用户态rootkit检测通过；

其中，所述关键属性包括以下属性之一或多个：

进程号、父进程信息以及进程名。

3.根据权利要求1所述的方法，其特征在于，所述行为分析树的叶子节点包括LKM标识信息及对应的哈希值，或，内核关键数据结构的标识信息及对应的哈希值；

所述基于所述安全装置中预置的基准值，确定所述行为分析树是否存在异常，包括：

当所述行为分析树的各叶子节点中包括的哈希值分别与对应的哈希基准值一致时，确定所述行为分析树正常。

4.一种rootkit检测装置，其特征在于，包括：

获取单元，用于当检测到LKM内核模块加载事件发生时，获取所述LKM信息以及内核关键数据结构；

确定单元，用于分别确定所获取到的LKM信息中各LKM的哈希值，以及，所获取到的内核关键数据结构中各内核关键数据结构的哈希值；

比较单元，用于比较所述各LKM的哈希值与LKM基准信息，以及，比较所述各内核关键数据结构的哈希值与内核关键数据结构基准信息；所述LKM基准信息和所述内核关键数据结构基准信息由受信任的设备生产商在设备出厂时，在安全环境下预置于安全装置中，所述LKM基准信息包括LKM标识信息及对应的基准哈希值；所述内核关键数据结构基准信息包括内核关键数据结构标识信息及对应的基准哈希值；

检测单元，用于当所述各LKM的哈希值与所述LKM基准信息一致，且所述各内核关键数据结构的哈希值与所述内核关键数据结构基准信息一致时，确定内核态rootkit检测通过；

所述检测单元，还用于当终端上电启动时，依次验证引导程序的数字签名和内核/操作系统的数字签名；当所述引导程序的数字签名和所述内核/操作系统的数字签名均验证通过时，对操作系统上的应用的数字签名进行验证，并当所述操作系统上的应用的数字签名验证通过时允许启动；

所述检测单元，还用于使用守护进程机制，采用动态动量方式，动态地基于LKM信息和内核关键数据结构建立行为分析树，并基于所述安全装置中预置的基准值，确定所述行为分析树是否存在异常，其中，所述行为分析树用于表示内核根基是否被非法篡改。