[发明专利]隐藏内核模块的检测清理方法和装置

权利要求书

1.一种隐藏内核模块的检测清理方法，其特征在于，包括：

定期根据第一监视函数和第二监视函数获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息，其中，所述第一监视函数用于监视在所述当前系统中完成加载的内核模块，所述第二监视函数用于监视在所述当前系统中被删除的内核模块，所述内核模块信息列表用于记录所述当前系统中驻留的内核模块；

在所述当前系统的内核空间的第一内核信息列表中查找所述内核模块，并在用户空间的第二内核信息列表中查找所述内核模块；

根据查找结果确定所述当前系统中处于隐藏状态的目标内核模块；

在确定所述目标内核模块的情况下，清理所述目标内核模块。

2.根据权利要求1所述的检测清理方法，其特征在于，所述根据查找结果确定所述当前系统中处于隐藏状态的目标内核模块包括：

在所述第一内核信息列表中并未查找到第一候选内核模块的情况下，确定所述第一候选内核模块为通过结构体摘链方式隐藏的内核模块，其中，所述目标内核模块包括所述第一候选内核模块；

在所述第一内核信息列表中查找到第二候选内核模块，但在所述第二内核信息列表中并未查找到所述第二候选内核模块的情况下，确定所述第二候选内核模块为通过信息过滤方式隐藏的内核模块，其中，所述目标内核模块包括所述第二候选内核模块。

3.根据权利要求1所述的检测清理方法，其特征在于，在所述获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息之前，还包括：

在所述当前系统中内核模块加载返回函数所在位置添加所述第一监视函数；

在所述当前系统中内核模块处理返回函数所在位置添加所述第二监视函数，其中，所述内核模块处理返回函数设置在内核模块删除函数之后的位置。

4.根据权利要求3所述的检测清理方法，其特征在于，在所述获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息之前，还包括：

在通过所述第一监视函数获取到当前进程所访问的最后一个文件的文件路径的情况下，通过所述文件路径获取当前所加载的内核模块的第一内核结构体地址；将所述文件路径和所述第一内核结构体地址添加到所述内核模块信息列表中，以更新所述内核模块信息列表；

在通过所述第二监视函数获取到当前所删除的内核模块的第二内核结构体地址；

将所述内核模块信息列表中所述第二内核结构体地址上记录的状态信息删除，以更新所述内核模块信息列表。

5.根据权利要求1所述的检测清理方法，其特征在于，所述清理所述目标内核模块包括：

获取清理指令，其中，所述清理指令用于指示清理处于所述隐藏状态的所述目标内核模块；

响应所述清理指令，清理所述目标内核模块。

6.根据权利要求5所述的检测清理方法，其特征在于，所述清理所述目标内核模块包括：

根据所述内核模块信息列表获取所述目标内核模块的目标内核结构体地址；调用释放函数清理所述目标内核结构体地址中记录的信息；

根据所述内核模块信息列表获取所述目标内核模块的目标文件路径；调用文件清理程序清理所述目标文件路径下包含所述目标内核模块的内核模块文件。

7.一种隐藏内核模块的检测清理装置，其特征在于，包括：

获取模块，用于定期根据第一监视函数和第二监视函数获取当前系统中内核模块信息列表中所记录的各个内核模块的状态信息，其中，所述第一监视函数用于监视在所述当前系统中完成加载的内核模块，所述第二监视函数用于监视在所述当前系统中被删除的内核模块，所述内核模块信息列表用于记录所述当前系统中驻留的内核模块；

查找模块，用于在所述当前系统的内核空间的第一内核信息列表中查找所述内核模块，并在用户空间的第二内核信息列表中查找所述内核模块；

确定模块，用于根据查找结果确定所述当前系统中处于隐藏状态的目标内核模块；

清理模块，用于清理所述目标内核模块。