基于XEN虚拟化环境的内核级ROOTKIT检测和处理方法.pdf

摘要
申请专利号：	CN201410103002.3	申请日：	2014.03.19
公开号：	CN103886259A	公开日：	2014.06.25
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/56申请日:20140319\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I	主分类号：	G06F21/56
申请人：	四川大学
发明人：	陈兴蜀; 任益; 张磊; 陈林; 曾雪梅
地址：	610065 四川省成都市武侯区一环路南一段24号
优先权：
专利代理机构：	成都信博专利代理有限责任公司 51200	代理人：	卓仲阳
PDF下载：	PDF下载

内容摘要

基于Xen虚拟化环境的内核级rootkit检测和处理方法，所述Xen虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机；管理域包括控制模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模块，客户机包括运行时维护模块和rootkit处理模块。还包括客户机启动过程中敏感信息备份、内核模块加载时安全链表更新、内核模块加载成功后交叉对比检测rootkit、内核敏感信息攻击性检测和在管理域对客户机中的rootkit进行处理的步骤。本发明同步构建用户视图并与内核视图和虚拟机监控器层视图进行交叉对比，避免误检与漏检；准确地提供内核态rootkit的数量与其在内存中的位置并对检测到的rootkit的攻击行为及时恢复避免扩散；还提供了在管理域统一处理检测到的内核态rootkit的方法。

权利要求书

权利要求书
1. 一种基于Xen虚拟化环境的内核级rootkit检测和处理方法，所述Xen虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机，其特征在于，管理域包括控制模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模块，半虚拟化的客户机包括运行时维护模块和rootkit处理模块；还包括
步骤1：在客户机启动过程中，内核敏感数据初始化完成，没有用户进程运行和内核模块加载时，敏感信息备份模块对内核中的敏感信息进行备份，包括
客户机初始化时，客户机发起超级调用HYVERVISOR_set_trap_table向虚拟机监控器注册虚拟机中断描述符表；
虚拟机监控器调用do_set_trap_table函数进行虚拟机中断描述符表注册；
在do_set_trap_table函数中，添加敏感信息备份模块，敏感信息备份模块通过copy_from_guest函数读取内核敏感信息，对内核中的敏感信息进行备份；所述内核中的敏感信息包括系统调用表、中断描述表、系统调用处理例程头部和敏感系统调用头部；
步骤2：客户机内核模块通过应用层工具进行加载时，运行时维护模块收集正在被加载内核模块的信息，进行安全链表更新操作，包括
应用程序进行内核模块加载，触发内核的sys_init_module系统调用，在sys_init_module函数进一步调用load_module函数进行模块加载，运行时维护模块通过对sys_init_module函数与load_module函数的劫持，收集被加载内核模块的信息，调用超级调用向安全链表维护模块传递内核模块信息并发起安全链表更新请求；所述被加载内核模块的信息包括内核模块名称与内核模块控制结构体在内存中的位置；
安全链表维护模块检查安全链表更新请求的合法性，如果合法则获取运行时维护模块所传递的内核模块信息并进行安全链表更新操作，如果不合法，则忽略此请求；
步骤3：客户机内核模块加载成功后，运行时维护模块同步建立用户视图，并收集用户视图和内核视图信息，触发超级调用，陷入虚拟机监控器，与安全链表提供的安全链表视图交叉对比进行rootkit检测，包括
运行时维护模块通过call_usermodehelper调用用户态程序lsmod产生用户态视图文件；运行时维护模块根据用户态视图文件在内核中分配内存，重构用户视图Vu；运行时维护模块收集用户视图Vu和内核视图Vk的信息，触发超级调用向检测模块发起检测请求；
检测模块进行隐藏性检测，如果存在内核模块E，其出现在Vk中却不在Vu中，则E为rootkit，查询安全链表中E的信息，记录到检测记录中；如果存在内核模块e，其出现在安全链表视图Vs中却不在Vk中，则e为rootkit，将e的信息记录到检测记录中；
步骤4：检测模块进行内核敏感信息攻击性检测，包括
检测模块读取客户机当前的IDT表信息，与虚拟机监控器中的敏感信息备份进行对比，查看客户机的IDT表内容是否被篡改；如果被篡改，则当前所加载内核模块为rootkit，检测模块恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
检测模块检测系统调用处理例程的头部是否被篡改，检测系统调用处理例程中call指令后的系统调用表地址是否被篡改；如果被篡改则当前所加载内核模块为rootkit，检测模块恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
检测模块检测敏感系统调用的头部是否被篡改，以及其在系统调用表中的地址是否正确；如果被篡改则当前所加载内核模块为rootkit，检测模块恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
步骤5：在管理域对客户机中的rootkit进行处理，包括
通过控制模块，查看虚拟机监控器中的检测记录，获取到客户机当前遭受rootkit攻击的情况，根据攻击情况，发出出信息恢复或rootkit卸载的处理命令；
控制模块通过通信区域传递处理命令；
rootkit处理模块监控通信区域的变化，当新的命令到达时，rootkit处理模块获取命令，分析命令，根据命令对rootkit进行处理，包括rootkit信息恢复：通过读取安全链表中的信息，在客户机内核中将rootkit缺失的链表信息进行恢复；以及rootkit卸载：利用客户机中的应用层工具实现对rootkit的卸载。

说明书

说明书基于Xen虚拟化环境的内核级rootkit检测和处理方法
技术领域
本发明涉及云计算平台上的恶意软件检测和处理技术领域，具体来讲是一种基于Xen虚拟化环境的内核级rootkit检测和处理方法。
背景技术
云计算，是继互联网之后业界又一个突破性的发展，它通过Internet以服务的方式提供动态可伸缩的虚拟化资源供用户使用。云计算使资源的利用与信息的共享达到了空前的高度。而与此同时，系统的安全威胁也日益加剧，恶意软件常常对系统造成严重的危害，对用户造成巨大的损失。平台的安全，已成为了用户将资源与服务迁移到云计算平台上的顾虑。
恶意软件在入侵系统后，常常会通过提高自身权限进行非授权操作，同时为了维持对系统的继续控制，会在系统中留有后门，如监听进程和网络连接等。当前，恶意软件更呈现出隐蔽性与伪装性，为安全软件的检测带来了极大的困难，rootkit便是这类恶意软件中危害十分严重的代表。rootkit主要分为两类：用户级rootkit和内核级rootkit，其常见的攻击行为包括隐藏攻击者的恶意进程、文件及网络连接，提供未授权的高级权限、监听、系统日志清除及系统后门等。用户级rootkit存在于操作系统的用户空间层，较易被检测到。内核级rootkit存在于内核空间中，通常以LKM的形式插入内核，与内核拥有同样的特权级，此类rootkit的攻击常常是通过修改内核关键数据实现，隐藏性强，难以被检测，本发明针对内核级rootkit进行检测。
云计算的核心技术是虚拟化技术，由于虚拟机监控器（Virtual Machine Monitor，简称VMM）具有更小的可信计算基、强隔离性、可干涉性及高特权级等优势，虚拟化环境下的rootkit检测已经成为一种重要的恶意软件检测方式。Xen是一个开放源代码虚拟机监控器，由剑桥大学开发。当前基于虚拟化环境下的rootkit检测主要是通过交叉视图的对比，检测系统中隐藏的rootkit，但是由于当前方式中视图获取的异步性，特别是用户视图获取的异步性，常常导致rootkit的误检与漏检。当前的检测方式由于信息有限，往往只能检测出系统中存在有隐藏的rootkit或则存在rootkit数量，但却无法进一步获取rootkit在系统内存中的位置，为后续的处理带来了困难。
发明内容
本发明的目的是提供一种基于Xen虚拟化环境的内核级rootkit检测和处理方法，利用以Xen为虚拟机监控器的虚拟化环境，实现对目标客户机中rootkit的检测。
实现本发明目的的技术方案如下:
一种基于Xen虚拟化环境的内核级rootkit检测和处理方法，所述Xen虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机，管理域包括控制模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模块，半虚拟化的客户机包括运行时维护模块和rootkit处理模块；还包括
步骤1：在客户机启动过程中，内核敏感数据初始化完成，没有用户进程运行和内核模块加载时，敏感信息备份模块对内核中的敏感信息进行备份，包括
客户机初始化时，客户机发起超级调用HYVERVISOR_set_trap_table向虚拟机监控器注册虚拟机中断描述符表；
虚拟机监控器调用do_set_trap_table函数进行虚拟机中断描述符表注册；在do_set_trap_table函数中，添加敏感信息备份模块，敏感信息备份模块通过copy_from_guest函数读取内核敏感信息，对内核中的敏感信息进行备份；所述内核中的敏感信息包括系统调用表、中断描述表、系统调用处理例程头部和敏感系统调用头部；
步骤2：客户机内核模块通过应用层工具进行加载时，运行时维护模块收集正在被加载内核模块的信息，进行安全链表更新操作，包括
应用程序进行内核模块加载，触发内核的sys_init_module系统调用，在sys_init_module函数进一步调用load_module函数进行模块加载，运行时维护模块通过对sys_init_module函数与load_module函数的劫持，收集被加载内核模块的信息，调用超级调用向安全链表维护模块传递内核模块信息并发起安全链表更新请求；所述被加载内核模块的信息包括内核模块名称与内核模块控制结构体在内存中的位置；
安全链表维护模块检查安全链表更新请求的合法性，如果合法则获取运行时维护模块所传递的内核模块信息并进行安全链表更新操作，如果不合法，则忽略此请求；
步骤3：客户机内核模块加载成功后，运行时维护模块同步建立用户视图，并收集用户视图和内核视图信息，触发超级调用，陷入虚拟机监控器，与安全链表提供的安全链表视图交叉对比进行rootkit检测，包括
运行时维护模块通过call_usermodehelper调用用户态程序lsmod产生用户态视图文件；运行时维护模块根据用户态视图文件在内核中分配内存，重构用户视图Vu；
运行时维护模块收集用户视图Vu和内核视图Vk的信息，触发超级调用向检测模块发起检测请求；
检测模块进行隐藏性检测，如果存在内核模块E，其出现在Vk中却不在Vu中，则E为rootkit，查询安全链表中E的信息，记录到检测记录中；如果存在内核模块e，其出现在安全链表视图Vs中却不在Vk中，则e为rootkit，将e的信息记录到检测记录中；
步骤4：检测模块进行内核敏感信息攻击性检测，包括检测模块读取客户机当前的IDT表信息，与虚拟机监控器中的敏感信息备份进行对比，查看客户机的IDT表内容是否被篡改；如果被篡改，则当前所加载内核模块为rootkit，检测模块恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
检测模块检测系统调用处理例程的头部是否被篡改，检测系统调用处理例程中call指令后的系统调用表地址是否被篡改；如果被篡改则当前所加载内核模块为rootkit，检测模块恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
检测模块检测敏感系统调用的头部是否被篡改，以及其在系统调用表中的地址是否正确；如果被篡改则当前所加载内核模块为rootkit，检测模块恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
步骤5：在管理域对客户机中的rootkit进行处理，包括
通过控制模块，查看虚拟机监控器中的检测记录，获取到客户机当前遭受rootkit攻击的情况，根据攻击情况，发出出信息恢复或rootkit卸载的处理命令；
控制模块通过通信区域传递处理命令；
rootkit处理模块监控通信区域的变化，当新的命令到达时，rootkit处理模块获取命令，分析命令，根据命令对rootkit进行处理，包括rootkit信息恢复：通过读取安全链表中的信息，在客户机内核中将rootkit缺失的链表信息进行恢复；以及rootkit卸载：利用客户机中的应用层工具实现对rootkit的卸载。
本发明的有益效果在于，基于rootkit的隐藏性与其对内核敏感信息的攻击性进行检测，能够同步构建用户视图并与内核视图和VMM层视图进行交叉对比避免了误检与漏检；能够准确地提供客户机中内核态rootkit的数量与其在内存中的位置；对检测到的rootkit对客户机内核的攻击行为及时恢复以避免攻击扩散；并提供了一种在管理域统一处理Xen虚拟化平台上虚拟机中检测到的内核态rootkit的方法。
附图说明
图1是本发明的整体框架图；
图2是本发明安全链表维护流程图；
图3是本发明安全链表更新维护操作合法性检测原理图；
图4是本发明rootkit隐藏性检测流程图；
图5是本发明rootkit敏感信息攻击检测流程图。
具体实施方式
本发明是基于Xen虚拟化环境的内核态rootkit检测与处理方法，从rootkit的隐藏性和rootkit对内核敏感信息的攻击情况，检测存在于客户机中的rootkit，并对检测到的 rootkit提供了定位、卸载与信息恢复的处理方式。
图1为本发明的整体框架图，如图所示，本发明包括三个部分：管理域、虚拟机监控器Xen和客户机。
控制模块
控制模块位于Xen虚拟化架构的管理域Dom0中，其功能包括：1）通过privcmd驱动，与虚拟机监控器Xen进行交互，查看攻击记录获取虚拟化平台上客户机所受rootkit攻击的情况；2）利用libxc库与Xenstore交互，向位于客户机中的rootkit处理模块发送rootkit处理命令，并接收处理结果信息。
敏感信息备份模块
敏感信息备份模块位于虚拟机监控器Xen层，当客户机机向Xen注册虚拟中断描述符表时利用copy_from_guest与IDT表提供的地址信息，负责在客户机初始化时获取客户机内核敏感信息并存储于敏感信息备份库。
安全链表维护模块
安全链表维护模块根据客户机中的运行时维护模块传递的模块信息，在虚拟机监控器层建立起客户机内核模块的安全链表，安全链表中存储有内核模块的名称与其控制模块在内核中的信息。
运行时维护模块
运行时维护模块位于客户机中，可通过修改内核源码或以内核模块形式存在于内核中，通过对sys_init_module函数与load_module函数的劫持，收集所加载内核模块的信息，通过触发特定的超级调用，将信息传递到虚拟机监控器层，并进一步由虚拟机监控器层通过安全链表维护模块建立起安全链表。
在模块初始化函数执行后，运行时维护模快借助用户态工具lsmod生成用户视图信息，并将生成的用户视图信息与内核中存在的内核模块信息module_list链表传递到虚拟机监控器层，触发rootkit检查。
检测模块
检测模块位于虚拟机监控器层，包括隐藏性检测与敏感信息攻击检测。隐藏性检测通过对比用户视图Vu、客户机内核视图Vk、安全链表视图Vs，对比它们之间的差异以发现隐藏内核模块。敏感性攻击检测通过对比内核中的敏感信息与敏感信息备份库中的信息以发现rootkit对内核敏感信息的攻击，并在检测到rootkit对内核敏感信息攻击时及时恢复敏感信息以保证内核的完整性。
rootkit处理模块
rootkit处理模块通过Xenstore与管理域中的控制模块进行交互，rootkit处理模块监听Xenstore上的特定键，获取来自控制模块的命令，执行信息恢复或rootkit卸载命令，并将处理结果返回给控制模块。信息恢复可以将内核态rootkit缺失的链表信息恢复到内核管理的内核模块链表module_list中，rootkit卸载利用用户层的rmmod及modprobe工具对rootkit进行卸载。
本发明的rootkit检测与处理包含三个重要步骤：第一，在客户机初始化过程中，在客户机尚处于可信阶段时，对内核敏感信息进行备份；第二，在内核模块加载时，同步进行rootkit的隐藏性和对内核敏感信息攻击的检测；第三，根据检测结果，对检测到的rootkit进行处理。
下面结合附图具体描述本发明的实施方式：
（一）客户机初始化过程中，敏感信息备份模块对内核敏感信息备份。
1)在客户机启动过程中，内核敏感数据初始化完成，没有用户进程运行和内核模块加载时，对内核敏感信息进行备份，备份步骤如下：
(1)当客户机初始化的时候，Xen中半虚拟化的客户机发起超级调用HYVERVISOR_set_trap_table向虚拟机监控器Xen注册虚拟机中断描述符表（Virtual Interrupt Descriptor Table，简称VIDT）以处理异常；
(2)虚拟机监控器Xen调用do_set_trap_table函数进行VIDT注册，此时客户机内核敏感数据初始化结束，系统中没有运行任何用户进程也还未加载内核模块，此时内核中信息可信；
(3)在do_set_trap_table函数中，添加敏感信息备份模块，模块通过copy_from_guest函数读取内核敏感信息，对内核中的敏感信息进行备份，备份敏感信息内容包括系统调用表、中断描述表、系统调用处理例程头部、敏感系统调用头部；
（二）内核模块加载时进行检测
1)在内核模块通过insmod、modprobe等应用层工具进行加载时，运行时维护模块收集正在被加载内核模块的信息，包括内核模块名称与内核模块控制结构体在内存中的位置，进行安全链表更新操作，如图2所示，步骤如下：
(1)应用程序insmod、modprobe等进行内核模块加载，应用程序触发内核的sys_init_module系统调用，在sys_init_modue函数进一步调用load_module函数进行模块加载，运行时维护模块通过对sys_init_module函数与load_module函数的劫持，收集内核模块的信息，调用超级调用向VMM传递内核模块信息并发起安全链表更新请求；
(2)安全链表维护模块首先检查安全链表更新请求的合法性，如果合法则获取运行时维护模块所传递的内核模块信息并进行安全链表更新操作，如果不合法，则忽略此请求。对安全链表更新操作合法性验证原理如图3所示，通过函数调用栈，利用函数调用时压入调用栈中的EBP和EIP逆向追踪重构出函数的调用路径，根据重构的函数调用路径与正常安全链表更新操作的函数调用路径进行对比，判断安全链表更新的合法性。
2)内核模块加载成功后，运行时维护模块同步建立用户视图，并收集用户视图和内核视图信息，触发超级调用，陷入VMM层与安全链表提供的安全链表视图Vs交叉对比进行rootkit检测，内核视图为内核中的module_list链表，rootkit隐藏性检测如图4所示，步骤如下：
(1)运行时维护模块通过call_usermodehelper调用用户态程序lsmod产生用户态视图文件；
(2)运行时维护模块根据用户态视图文件在内核中分配内存，重构用户视图Vu；
(3)内核视图为内核中维护的内核模块链表，运行时维护模块收集用户视图Vu和内核视图Vk的信息，触发超级调用向检测模块发起检测请求；
(4)检测模块进行隐藏性检测，如果存在内核模块E，其出现在Vk中却不在Vu中，则E为rootkit，查询安全链表中E的信息，记录到检测记录中；如果存在内核模块e，其出现在安全链表视图Vs中却不在Vk中，则e为rootkit，将e的信息记录到检测记录中；
3)检测模块进行内核敏感信息攻击性检如图5所示，敏感信息攻击检测步骤如下：
(1)检测模块读取客户机当前的IDT表信息，与VMM中的敏感信息备份进行对比，查看客户机的IDT表内容是否被篡改，如果被篡改，则当前所加载内核模块为rootkit，检测模块及时恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
(2)检测模块检测系统调用处理例程，检测系统调用处理例程的头部是否被篡改，检测系统调用处理例程中call指令后的系统调用表地址是否被篡改，如果被篡改则当前所加载内核模块为rootkit，检测模块及时恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
(3)检测模块检测敏感系统调用，检测其头部是否被篡改，以及其在系统调用表中的地址是否正确，如果被篡改则当前所加载内核模块为rootkit，检测模块及时恢复被篡改的内容并记录下此rootkit具体的攻击到检测记录中；
4)返回客户机中继续运行，rootkit检测过程结束。
（三）rootkit的处理。
本发明提供了一种在Xen的管理域实现对Xen虚拟化环境的客户机中的rootkit进行统一处理的办法，而无需单独进入各个客户机进行处理。rootkit处理过程包含两个模块：管理域的控制模块和客户机的rootkit处理模块。rootkit处理模块包含rootkit信息恢复与rootkit卸载，处理步骤如下：
1)通过控制模块，管理员可以查看VMM中的检测记录，获取到客户机当前遭受rootkit攻击的情况，根据攻击情况，管理员可以发出出信息恢复或rootkit卸载的处理命令；
2)控制模块通过由Xenstore建立起的通信区域传递处理命令；
3)位于客户机中的rootkit处理模块监控通信区域的变化，当新的命令到达时，rootkit处理模块获取命令，分析命令，根据命令对rootkit进行相应处理；
信息恢复通过读取安全链表中的信息，在客户机内核中将rootkit缺失的链表信息进行恢复；rootkit卸载根据命令中提供的信息，利用客户机中的rmmod、modprobe等应用层工具实现对rootkit的卸载。

资源描述

《基于XEN虚拟化环境的内核级ROOTKIT检测和处理方法.pdf》由会员分享，可在线阅读，更多相关《基于XEN虚拟化环境的内核级ROOTKIT检测和处理方法.pdf（14页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103886259 A (43)申请公布日 2014.06.25 CN 103886259 A (21)申请号 201410103002.3 (22)申请日 2014.03.19 G06F 21/56(2013.01) (71)申请人四川大学地址 610065 四川省成都市武侯区一环路南一段 24 号 (72)发明人陈兴蜀任益张磊陈林曾雪梅 (74)专利代理机构成都信博专利代理有限责任公司 51200 代理人卓仲阳 (54) 发明名称基于 Xen 虚拟化环境的内核级 rootkit 检测和处理方法 (57) 摘要基于 Xen 虚拟化环境的内。

2、核级 rootkit 检测和处理方法，所述 Xen 虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机；管理域包括控制模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模块，客户机包括运行时维护模块和 rootkit 处理模块。还包括客户机启动过程中敏感信息备份、内核模块加载时安全链表更新、内核模块加载成功后交叉对比检测 rootkit、内核敏感信息攻击性检测和在管理域对客户机中的 rootkit 进行处理的步骤。本发明同步构建用户视图并与内核视图和虚拟机监控器层视图进行交叉对比，避免误检与漏检；准确地提供内核态 rootkit 的数。

3、量与其在内存中的位置并对检测到的 rootkit 的攻击行为及时恢复避免扩散；还提供了在管理域统一处理检测到的内核态 rootkit 的方法。 (51)Int.Cl. 权利要求书 2 页说明书 6 页附图 5 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书6页附图5页 (10)申请公布号 CN 103886259 A CN 103886259 A 1/2 页 2 1. 一种基于 Xen 虚拟化环境的内核级 rootkit 检测和处理方法，所述 Xen 虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机，其特征在于，管理域包括控制。

4、模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模块，半虚拟化的客户机包括运行时维护模块和 rootkit 处理模块；还包括步骤 1 ：在客户机启动过程中，内核敏感数据初始化完成，没有用户进程运行和内核模块加载时，敏感信息备份模块对内核中的敏感信息进行备份，包括客户机初始化时，客户机发起超级调用 HYVERVISOR_set_trap_table 向虚拟机监控器注册虚拟机中断描述符表；虚拟机监控器调用 do_set_trap_table 函数进行虚拟机中断描述符表注册；在 do_set_trap_table 函数中，添加敏感信息备份模块。

5、，敏感信息备份模块通过 copy_ from_guest 函数读取内核敏感信息，对内核中的敏感信息进行备份；所述内核中的敏感信息包括系统调用表、中断描述表、系统调用处理例程头部和敏感系统调用头部；步骤 2 ：客户机内核模块通过应用层工具进行加载时，运行时维护模块收集正在被加载内核模块的信息，进行安全链表更新操作，包括应用程序进行内核模块加载，触发内核的 sys_init_module 系统调用，在 sys_init_ module 函数进一步调用 load_module 函数进行模块加载，运行时维护模块通过对 sys_ init_module 函数与 loa。

6、d_module 函数的劫持，收集被加载内核模块的信息，调用超级调用向安全链表维护模块传递内核模块信息并发起安全链表更新请求；所述被加载内核模块的信息包括内核模块名称与内核模块控制结构体在内存中的位置；安全链表维护模块检查安全链表更新请求的合法性，如果合法则获取运行时维护模块所传递的内核模块信息并进行安全链表更新操作，如果不合法，则忽略此请求；步骤 3 ：客户机内核模块加载成功后，运行时维护模块同步建立用户视图，并收集用户视图和内核视图信息，触发超级调用，陷入虚拟机监控器，与安全链表提供的安全链表视图交叉对比进行 rootkit 检测，包括运行时。

7、维护模块通过call_usermodehelper调用用户态程序lsmod产生用户态视图文件；运行时维护模块根据用户态视图文件在内核中分配内存，重构用户视图Vu；运行时维护模块收集用户视图 Vu和内核视图 Vk的信息，触发超级调用向检测模块发起检测请求；检测模块进行隐藏性检测，如果存在内核模块 E，其出现在 Vk中却不在 Vu中，则 E 为 rootkit，查询安全链表中 E 的信息，记录到检测记录中；如果存在内核模块 e，其出现在安全链表视图 Vs中却不在 Vk中，则 e 为 rootkit，将 e 的信息记录到检测记录中；步骤 4 ：检测模块进。

8、行内核敏感信息攻击性检测，包括检测模块读取客户机当前的 IDT 表信息，与虚拟机监控器中的敏感信息备份进行对比，查看客户机的 IDT 表内容是否被篡改；如果被篡改，则当前所加载内核模块为 rootkit，检测模块恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中；检测模块检测系统调用处理例程的头部是否被篡改，检测系统调用处理例程中 call 指令后的系统调用表地址是否被篡改；如果被篡改则当前所加载内核模块为 rootkit，检测模块恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中；检测模块检测敏感系统调用的头部是否被篡改，。

9、以及其在系统调用表中的地址是否正确；如果被篡改则当前所加载内核模块为 rootkit，检测模块恢复被篡改的内容并记录下权利要求书 CN 103886259 A 2 2/2 页 3 此 rootkit 具体的攻击到检测记录中；步骤 5 ：在管理域对客户机中的 rootkit 进行处理，包括通过控制模块，查看虚拟机监控器中的检测记录，获取到客户机当前遭受 rootkit 攻击的情况，根据攻击情况，发出出信息恢复或 rootkit 卸载的处理命令；控制模块通过通信区域传递处理命令； rootkit 处理模块监控通信区域的变化，当新的命令到达时， root。

10、kit 处理模块获取命令，分析命令，根据命令对rootkit进行处理，包括rootkit信息恢复：通过读取安全链表中的信息，在客户机内核中将 rootkit 缺失的链表信息进行恢复；以及 rootkit 卸载：利用客户机中的应用层工具实现对 rootkit 的卸载。权利要求书 CN 103886259 A 3 1/6 页 4 基于 Xen 虚拟化环境的内核级 rootkit 检测和处理方法技术领域 0001 本发明涉及云计算平台上的恶意软件检测和处理技术领域，具体来讲是一种基于 Xen 虚拟化环境的内核级 rootkit 检测和处理方法。背景技术 00。

11、02 云计算，是继互联网之后业界又一个突破性的发展，它通过 Internet 以服务的方式提供动态可伸缩的虚拟化资源供用户使用。云计算使资源的利用与信息的共享达到了空前的高度。而与此同时，系统的安全威胁也日益加剧，恶意软件常常对系统造成严重的危害，对用户造成巨大的损失。平台的安全，已成为了用户将资源与服务迁移到云计算平台上的顾虑。 0003 恶意软件在入侵系统后，常常会通过提高自身权限进行非授权操作，同时为了维持对系统的继续控制，会在系统中留有后门，如监听进程和网络连接等。当前，恶意软件更呈现出隐蔽性与伪装性，为安全软件的检测带来了极大的困难， root。

12、kit 便是这类恶意软件中危害十分严重的代表。rootkit 主要分为两类：用户级 rootkit 和内核级 rootkit，其常见的攻击行为包括隐藏攻击者的恶意进程、文件及网络连接，提供未授权的高级权限、监听、系统日志清除及系统后门等。用户级 rootkit 存在于操作系统的用户空间层，较易被检测到。内核级 rootkit 存在于内核空间中，通常以 LKM 的形式插入内核，与内核拥有同样的特权级，此类 rootkit 的攻击常常是通过修改内核关键数据实现，隐藏性强，难以被检测，本发明针对内核级 rootkit 进行检测。 0004 云计算的核心技术是虚拟。

13、化技术，由于虚拟机监控器（Virtual Machine Monitor，简称 VMM）具有更小的可信计算基、强隔离性、可干涉性及高特权级等优势，虚拟化环境下的 rootkit 检测已经成为一种重要的恶意软件检测方式。Xen 是一个开放源代码虚拟机监控器，由剑桥大学开发。当前基于虚拟化环境下的 rootkit 检测主要是通过交叉视图的对比，检测系统中隐藏的 rootkit，但是由于当前方式中视图获取的异步性，特别是用户视图获取的异步性，常常导致 rootkit 的误检与漏检。当前的检测方式由于信息有限，往往只能检测出系统中存在有隐藏的 rootkit 或则存。

14、在 rootkit 数量，但却无法进一步获取 rootkit 在系统内存中的位置，为后续的处理带来了困难。发明内容 0005 本发明的目的是提供一种基于 Xen 虚拟化环境的内核级 rootkit 检测和处理方法，利用以 Xen 为虚拟机监控器的虚拟化环境，实现对目标客户机中 rootkit 的检测。 0006 实现本发明目的的技术方案如下 : 0007 一种基于 Xen 虚拟化环境的内核级 rootkit 检测和处理方法，所述 Xen 虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机，管理域包括控制模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模。

15、块，半虚拟化的客户机包括运行时维护模块和 rootkit 处理模块；还包括说明书 CN 103886259 A 4 2/6 页 5 0008 步骤 1 ：在客户机启动过程中，内核敏感数据初始化完成，没有用户进程运行和内核模块加载时，敏感信息备份模块对内核中的敏感信息进行备份，包括 0009 客户机初始化时，客户机发起超级调用 HYVERVISOR_set_trap_table 向虚拟机监控器注册虚拟机中断描述符表； 0010 虚拟机监控器调用 do_set_trap_table 函数进行虚拟机中断描述符表注册；在 do_set_trap_table 函数中，。

16、添加敏感信息备份模块，敏感信息备份模块通过 copy_from_ guest 函数读取内核敏感信息，对内核中的敏感信息进行备份；所述内核中的敏感信息包括系统调用表、中断描述表、系统调用处理例程头部和敏感系统调用头部； 0011 步骤 2 ：客户机内核模块通过应用层工具进行加载时，运行时维护模块收集正在被加载内核模块的信息，进行安全链表更新操作，包括 0012 应用程序进行内核模块加载，触发内核的 sys_init_module 系统调用，在 sys_ init_module 函数进一步调用 load_module 函数进行模块加载，运行时维护模块通过对 sys。

17、_init_module 函数与 load_module 函数的劫持，收集被加载内核模块的信息，调用超级调用向安全链表维护模块传递内核模块信息并发起安全链表更新请求；所述被加载内核模块的信息包括内核模块名称与内核模块控制结构体在内存中的位置； 0013 安全链表维护模块检查安全链表更新请求的合法性，如果合法则获取运行时维护模块所传递的内核模块信息并进行安全链表更新操作，如果不合法，则忽略此请求； 0014 步骤 3 ：客户机内核模块加载成功后，运行时维护模块同步建立用户视图，并收集用户视图和内核视图信息，触发超级调用，陷入虚拟机监控器，与安全链表提供的安全。

18、链表视图交叉对比进行 rootkit 检测，包括 0015 运行时维护模块通过call_usermodehelper调用用户态程序lsmod产生用户态视图文件；运行时维护模块根据用户态视图文件在内核中分配内存，重构用户视图 Vu； 0016 运行时维护模块收集用户视图Vu和内核视图Vk的信息，触发超级调用向检测模块发起检测请求； 0017 检测模块进行隐藏性检测，如果存在内核模块 E，其出现在 Vk中却不在 Vu中，则 E 为 rootkit，查询安全链表中 E 的信息，记录到检测记录中；如果存在内核模块 e，其出现在安全链表视图 Vs中却不在 Vk中，则。

19、 e 为 rootkit，将 e 的信息记录到检测记录中； 0018 步骤 4 ：检测模块进行内核敏感信息攻击性检测，包括检测模块读取客户机当前的IDT表信息，与虚拟机监控器中的敏感信息备份进行对比，查看客户机的IDT表内容是否被篡改；如果被篡改，则当前所加载内核模块为 rootkit，检测模块恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中； 0019 检测模块检测系统调用处理例程的头部是否被篡改，检测系统调用处理例程中 call 指令后的系统调用表地址是否被篡改；如果被篡改则当前所加载内核模块为 rootkit，检测模块恢复被篡改的内。

20、容并记录下此 rootkit 具体的攻击到检测记录中； 0020 检测模块检测敏感系统调用的头部是否被篡改，以及其在系统调用表中的地址是否正确；如果被篡改则当前所加载内核模块为 rootkit，检测模块恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中； 0021 步骤 5 ：在管理域对客户机中的 rootkit 进行处理，包括 0022 通过控制模块，查看虚拟机监控器中的检测记录，获取到客户机当前遭受 rootkit 说明书 CN 103886259 A 5 3/6 页 6 攻击的情况，根据攻击情况，发出出信息恢复或 rootkit 卸载的处理。

21、命令； 0023 控制模块通过通信区域传递处理命令； 0024 rootkit 处理模块监控通信区域的变化，当新的命令到达时， rootkit 处理模块获取命令，分析命令，根据命令对rootkit进行处理，包括rootkit信息恢复：通过读取安全链表中的信息，在客户机内核中将 rootkit 缺失的链表信息进行恢复；以及 rootkit 卸载：利用客户机中的应用层工具实现对 rootkit 的卸载。 0025 本发明的有益效果在于，基于 rootkit 的隐藏性与其对内核敏感信息的攻击性进行检测，能够同步构建用户视图并与内核视图和 VMM 层视图进行交叉对。

22、比避免了误检与漏检；能够准确地提供客户机中内核态 rootkit 的数量与其在内存中的位置；对检测到的 rootkit 对客户机内核的攻击行为及时恢复以避免攻击扩散；并提供了一种在管理域统一处理 Xen 虚拟化平台上虚拟机中检测到的内核态 rootkit 的方法。附图说明 0026 图 1 是本发明的整体框架图； 0027 图 2 是本发明安全链表维护流程图； 0028 图 3 是本发明安全链表更新维护操作合法性检测原理图； 0029 图 4 是本发明 rootkit 隐藏性检测流程图； 0030 图 5 是本发明 rootkit 敏感信息攻击检测流程图。具体实施方。

23、式 0031 本发明是基于 Xen 虚拟化环境的内核态 rootkit 检测与处理方法，从 rootkit 的隐藏性和 rootkit 对内核敏感信息的攻击情况，检测存在于客户机中的 rootkit，并对检测到的 rootkit 提供了定位、卸载与信息恢复的处理方式。 0032 图 1 为本发明的整体框架图，如图所示，本发明包括三个部分：管理域、虚拟机监控器 Xen 和客户机。 0033 控制模块 0034 控制模块位于 Xen 虚拟化架构的管理域 Dom0 中，其功能包括： 1）通过 privcmd 驱动，与虚拟机监控器Xen进行交互，查看攻击记录获取虚拟。

24、化平台上客户机所受rootkit攻击的情况； 2）利用 libxc 库与 Xenstore 交互，向位于客户机中的 rootkit 处理模块发送 rootkit 处理命令，并接收处理结果信息。 0035 敏感信息备份模块 0036 敏感信息备份模块位于虚拟机监控器 Xen 层，当客户机机向 Xen 注册虚拟中断描述符表时利用 copy_from_guest 与 IDT 表提供的地址信息，负责在客户机初始化时获取客户机内核敏感信息并存储于敏感信息备份库。 0037 安全链表维护模块 0038 安全链表维护模块根据客户机中的运行时维护模块传递的模块信息，在虚拟机监控器层建立起。

25、客户机内核模块的安全链表，安全链表中存储有内核模块的名称与其控制模块在内核中的信息。 0039 运行时维护模块说明书 CN 103886259 A 6 4/6 页 7 0040 运行时维护模块位于客户机中，可通过修改内核源码或以内核模块形式存在于内核中，通过对sys_init_module函数与load_module函数的劫持，收集所加载内核模块的信息，通过触发特定的超级调用，将信息传递到虚拟机监控器层，并进一步由虚拟机监控器层通过安全链表维护模块建立起安全链表。 0041 在模块初始化函数执行后，运行时维护模快借助用户态工具 lsmod 生成用户视图信息，并。

26、将生成的用户视图信息与内核中存在的内核模块信息 module_list 链表传递到虚拟机监控器层，触发 rootkit 检查。 0042 检测模块 0043 检测模块位于虚拟机监控器层，包括隐藏性检测与敏感信息攻击检测。隐藏性检测通过对比用户视图 Vu、客户机内核视图 Vk、安全链表视图 Vs，对比它们之间的差异以发现隐藏内核模块。敏感性攻击检测通过对比内核中的敏感信息与敏感信息备份库中的信息以发现 rootkit 对内核敏感信息的攻击，并在检测到 rootkit 对内核敏感信息攻击时及时恢复敏感信息以保证内核的完整性。 0044 rootkit 处理模块 0045 r。

27、ootkit 处理模块通过 Xenstore 与管理域中的控制模块进行交互， rootkit 处理模块监听 Xenstore 上的特定键，获取来自控制模块的命令，执行信息恢复或 rootkit 卸载命令，并将处理结果返回给控制模块。信息恢复可以将内核态 rootkit 缺失的链表信息恢复到内核管理的内核模块链表 module_list 中， rootkit 卸载利用用户层的 rmmod 及 modprobe 工具对 rootkit 进行卸载。 0046 本发明的 rootkit 检测与处理包含三个重要步骤：第一，在客户机初始化过程中，在客户机尚处于可信阶段时，对内核敏感信。

28、息进行备份；第二，在内核模块加载时，同步进行 rootkit 的隐藏性和对内核敏感信息攻击的检测；第三，根据检测结果，对检测到的 rootkit 进行处理。 0047 下面结合附图具体描述本发明的实施方式： 0048 （一）客户机初始化过程中，敏感信息备份模块对内核敏感信息备份。 0049 1) 在客户机启动过程中，内核敏感数据初始化完成，没有用户进程运行和内核模块加载时，对内核敏感信息进行备份，备份步骤如下： 0050 (1) 当客户机初始化的时候， Xen 中半虚拟化的客户机发起超级调用 HYVERVISOR_ set_trap_table 向虚拟机监控。

29、器 Xen 注册虚拟机中断描述符表（Virtual Interrupt Descriptor Table，简称 VIDT）以处理异常； 0051 (2) 虚拟机监控器 Xen 调用 do_set_trap_table 函数进行 VIDT 注册，此时客户机内核敏感数据初始化结束，系统中没有运行任何用户进程也还未加载内核模块，此时内核中信息可信； 0052 (3)在do_set_trap_table函数中，添加敏感信息备份模块，模块通过copy_from_ guest 函数读取内核敏感信息，对内核中的敏感信息进行备份，备份敏感信息内容包括系统调用表、中断描述表、系。

30、统调用处理例程头部、敏感系统调用头部； 0053 （二）内核模块加载时进行检测 0054 1) 在内核模块通过 insmod、 modprobe 等应用层工具进行加载时，运行时维护模块收集正在被加载内核模块的信息，包括内核模块名称与内核模块控制结构体在内存中的位说明书 CN 103886259 A 7 5/6 页 8 置，进行安全链表更新操作，如图 2 所示，步骤如下： 0055 (1) 应用程序 insmod、 modprobe 等进行内核模块加载，应用程序触发内核的 sys_ init_module 系统调用，在 sys_init_modue 函数进一步调用。

31、load_module 函数进行模块加载，运行时维护模块通过对sys_init_module函数与load_module函数的劫持，收集内核模块的信息，调用超级调用向 VMM 传递内核模块信息并发起安全链表更新请求； 0056 (2) 安全链表维护模块首先检查安全链表更新请求的合法性，如果合法则获取运行时维护模块所传递的内核模块信息并进行安全链表更新操作，如果不合法，则忽略此请求。对安全链表更新操作合法性验证原理如图 3 所示，通过函数调用栈，利用函数调用时压入调用栈中的 EBP 和 EIP 逆向追踪重构出函数的调用路径，根据重构的函数调用路径与正常安全链表更新。

32、操作的函数调用路径进行对比，判断安全链表更新的合法性。 0057 2) 内核模块加载成功后，运行时维护模块同步建立用户视图，并收集用户视图和内核视图信息，触发超级调用，陷入 VMM 层与安全链表提供的安全链表视图 Vs交叉对比进行rootkit检测，内核视图为内核中的module_list链表， rootkit隐藏性检测如图4所示，步骤如下： 0058 (1) 运行时维护模块通过 call_usermodehelper 调用用户态程序 lsmod 产生用户态视图文件； 0059 (2) 运行时维护模块根据用户态视图文件在内核中分配内存，重构用户视图 Vu； 0060 。

33、(3) 内核视图为内核中维护的内核模块链表，运行时维护模块收集用户视图 Vu和内核视图 Vk的信息，触发超级调用向检测模块发起检测请求； 0061 (4) 检测模块进行隐藏性检测，如果存在内核模块 E，其出现在 Vk中却不在 Vu中，则 E 为 rootkit，查询安全链表中 E 的信息，记录到检测记录中；如果存在内核模块 e，其出现在安全链表视图 Vs中却不在 Vk中，则 e 为 rootkit，将 e 的信息记录到检测记录中； 0062 3) 检测模块进行内核敏感信息攻击性检如图 5 所示，敏感信息攻击检测步骤如下： 0063 (1) 检测模块读取客户。

34、机当前的 IDT 表信息，与 VMM 中的敏感信息备份进行对比，查看客户机的 IDT 表内容是否被篡改，如果被篡改，则当前所加载内核模块为 rootkit，检测模块及时恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中； 0064 (2) 检测模块检测系统调用处理例程，检测系统调用处理例程的头部是否被篡改，检测系统调用处理例程中 call 指令后的系统调用表地址是否被篡改，如果被篡改则当前所加载内核模块为 rootkit，检测模块及时恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中； 0065 (3) 检测模块检测敏感系统调用，检。

35、测其头部是否被篡改，以及其在系统调用表中的地址是否正确，如果被篡改则当前所加载内核模块为 rootkit，检测模块及时恢复被篡改的内容并记录下此 rootkit 具体的攻击到检测记录中； 0066 4) 返回客户机中继续运行， rootkit 检测过程结束。 0067 （三） rootkit 的处理。 0068 本发明提供了一种在 Xen 的管理域实现对 Xen 虚拟化环境的客户机中的 rootkit 进行统一处理的办法，而无需单独进入各个客户机进行处理。 rootkit处理过程包含两个模块：管理域的控制模块和客户机的 rootkit 处理模块。rootkit 处理模块包含。

36、 rootkit 信说明书 CN 103886259 A 8 6/6 页 9 息恢复与 rootkit 卸载，处理步骤如下： 0069 1) 通过控制模块，管理员可以查看 VMM 中的检测记录，获取到客户机当前遭受 rootkit 攻击的情况，根据攻击情况，管理员可以发出出信息恢复或 rootkit 卸载的处理命令； 0070 2) 控制模块通过由 Xenstore 建立起的通信区域传递处理命令； 0071 3) 位于客户机中的 rootkit 处理模块监控通信区域的变化，当新的命令到达时， rootkit 处理模块获取命令，分析命令，根据命令对 rootkit 。

37、进行相应处理； 0072 信息恢复通过读取安全链表中的信息，在客户机内核中将 rootkit 缺失的链表信息进行恢复； rootkit 卸载根据命令中提供的信息，利用客户机中的 rmmod、 modprobe 等应用层工具实现对 rootkit 的卸载。说明书 CN 103886259 A 9 1/5 页 10 图 1 说明书附图 CN 103886259 A 10 2/5 页 11 图 2 说明书附图 CN 103886259 A 11 3/5 页 12 图 3 说明书附图 CN 103886259 A 12 4/5 页 13 图 4 说明书附图 CN 103886259 A 13 5/5 页 14 图 5 说明书附图 CN 103886259 A 14 。

展开阅读全文