-
公开(公告)号:CN111695116B
公开(公告)日:2024-05-24
申请号:CN202010400215.8
申请日:2020-05-13
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供一种基于Linux系统内核层Rootkit的取证方法、装置、电子设备及存储介质,该方法包括:获取Rootkit的内核模块内存地址值,根据内核模块的内存地址值获取隐藏内核模块;根据隐藏内核模块,获取内核模块结构体;根据内核模块结构体和内核模块的内存数据,完成对Rootkit的取证。只针对Rootkit内核模块进行检测和分析,可以极大的避免实现的复杂性,实现简单,保证易于多系统移植适配;同时,检测手段在内核层实现,通过较高的权限操作内核内存等底层信息,可以保证检测的准确和可靠;最后,内核模块是内核Rootkit实现隐藏信息的根本,从内核模块检测和分析入手,有利于了解恶意软件通过何种手段实现Rootkit及获取到隐藏的信息数据,完成取证。
-
公开(公告)号:CN111027072B
公开(公告)日:2024-02-27
申请号:CN201911323902.8
申请日:2019-12-20
Applicant: 北京安天网络安全技术有限公司
Abstract: 为策略的检测技术,无法全面的对系统进行检测本发明公开了一种Linux下基于elf二进制 的问题。标准解析的内核Rootkit检测方法、装置及存储设备,涉及网络安全领域,包括:加载待测内核,读取其中内核文件或者内核模块文件到内存;读取内核及内核模块的elf文件中代码段和只读数据段的内容;将读取到的代码段和只读数据段内容与运行中的待测内核的代码区和只读数据区进行逐一比对获取差异;若差异出现在只读数据段则直接判定为内核Rootkit;若差异出现在代
-
公开(公告)号:CN111695116A
公开(公告)日:2020-09-22
申请号:CN202010400215.8
申请日:2020-05-13
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供一种基于Linux系统内核层Rootkit的取证方法、装置、电子设备及存储介质,该方法包括:获取Rootkit的内核模块内存地址值,根据内核模块的内存地址值获取隐藏内核模块;根据隐藏内核模块,获取内核模块结构体;根据内核模块结构体和内核模块的内存数据,完成对Rootkit的取证。只针对Rootkit内核模块进行检测和分析,可以极大的避免实现的复杂性,实现简单,保证易于多系统移植适配;同时,检测手段在内核层实现,通过较高的权限操作内核内存等底层信息,可以保证检测的准确和可靠;最后,内核模块是内核Rootkit实现隐藏信息的根本,从内核模块检测和分析入手,有利于了解恶意软件通过何种手段实现Rootkit及获取到隐藏的信息数据,完成取证。
-
公开(公告)号:CN111027072A
公开(公告)日:2020-04-17
申请号:CN201911323902.8
申请日:2019-12-20
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明公开了一种Linux下基于elf二进制标准解析的内核Rootkit检测方法、装置及存储设备,涉及网络安全领域,包括:加载待测内核,读取其中内核文件或者内核模块文件到内存;读取内核及内核模块的elf文件中代码段和只读数据段的内容;将读取到的代码段和只读数据段内容与运行中的待测内核的代码区和只读数据区进行逐一比对获取差异;若差异出现在只读数据段则直接判定为内核Rootkit;若差异出现在代码段,则需进一步排除差异是否属于内核运行时的修改,如果不是则判定为内核Rootkit,解决了当前内核Rootkit检测技术多是针对Rootkit行为策略的检测技术,无法全面的对系统进行检测的问题。
-
-
-
Search Results
4
records
(took 0.031 seconds)
