Processing

Please wait...

Settings

Settings

1. WO2020000741 - ROOTKIT MEASUREMENT METHOD, APPARATUS, AND SERVER

Publication Number WO/2020/000741
Publication Date 02.01.2020
International Application No. PCT/CN2018/108469
International Filing Date 28.09.2018
IPC
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
F
ELECTRIC DIGITAL DATA PROCESSING
21
Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50
Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55
Detecting local intrusion or implementing counter-measures
56
Computer malware detection or handling, e.g. anti-virus arrangements
G06F 21/56 (2013.01)
CPC
G06F 21/52
G06F 21/566
G06F 21/57
G06F 2221/033
G06F 2221/034
Applicants
  • 平安科技(深圳)有限公司 PING AN TECHNOLOGY (SHENZHEN) CO., LTD. [CN/CN]; 中国广东省深圳市 福田区福田街道福安社区益田路5033号平安金融中心23楼 23F, Ping'an Financial Center, No. 5033 Yitian Road, Fu'an Community of Futian Street, Futian District Shenzhen, Guangdong 518000, CN
Inventors
  • 郑彪 ZHENG, Biao; CN
Agents
  • 广州三环专利商标代理有限公司 SCIHEAD IP LAW FIRM; 中国广东省广州市 越秀区先烈中路80号汇华商贸大厦1508室 Room 1508 Huihua Commercial & Trade Building No. 80 XianLie Zhong Road, Yuexiu District Guangzhou, Guangdong 510070, CN
Priority Data
201810706457.230.06.2018CN
Publication Language Chinese (ZH)
Filing Language Chinese (ZH)
Designated States
Title
(EN) ROOTKIT MEASUREMENT METHOD, APPARATUS, AND SERVER
(FR) PROCÉDÉ, APPAREIL ET SERVEUR DE MESURE DE TROUSSE ADMINISTRATEUR PIRATE
(ZH) 一种rookit检测方法、装置及服务器
Abstract
(EN)
Disclosed by the embodiments of the present invention are a rootkit measurement method, apparatus, and server; said method can be applied to a Linux system; said Linux system comprises a secure backup area which is backed up with a system call table; the Linux system is divided into a ring3 state and a ring0 state. The method comprises: if it is detected that a Linux system is running, then loading a kernel module pre-deployed in the Linux system, and triggering an obtain program in the kernel module to obtain a current system call table in the ring0 state; obtaining the system call table, which has been backed up beforehand, from the secure backup area, and calling a comparison program in the ring3 state to determine whether the backed-up system call table is consistent with the current system call table; if not, then determining that the ring0 state of the Linux system has been attacked by the rootkit. The embodiments of the present invention are advantageous to improving the accuracy of rootkit detection.
(FR)
Les modes de réalisation de la présente invention concernent un procédé, un appareil et un serveur de mesure de trousse administrateur pirate ; ledit procédé peut être appliqué à un système Linux ; ledit système Linux comprend une zone de sauvegarde sécurisée qui est sauvegardée avec une table d'appel système ; le système Linux est divisé en un état d'anneau de protection ring3 et un état ring0. Le procédé comprend les étapes suivantes : s'il est détecté qu'un système Linux est en cours d'exécution, alors charger un module central pré-déployé dans le système Linux, et déclencher un programme dans le module central pour obtenir une table d'appel système actuelle à l'état d'anneau de protection ring0 ; obtenir la table d'appel système, qui a été préalablement sauvegardée, à partir de la zone de sauvegarde sécurisée, et appeler un programme de comparaison dans l'état d'anneau de protection ring3 pour déterminer si la table d'appel système sauvegardée est cohérente avec la table d'appel système actuelle ; si tel n'est pas le cas, alors déterminer que l'état d'anneau de protection ring0 du système Linux a été attaqué par la trousse administrateur pirate. Les modes de réalisation de l'invention sont avantageux pour améliorer la précision de la détection de trousse administrateur pirate.
(ZH)
本发明实施例公开了一种rookit检测方法、装置及服务器,该方法应用于linux系统,该linux系统包括预先备份有系统调用表的安全备份区,该inux系统分为ring3态和ring0态。所述方法包括:在检测到linux系统运行时,加载预先部署在linux系统中的内核模块,并触发内核模块中的获取程序获取ring0态中的当前系统调用表,从安全备份区获取预先备份的系统调用表,并调用ring3态中的比较程序确定该预先备份的系统调用表与当前系统调用表是否一致,若不一致,则确定linux系统的ring0态被rookit攻击。通过本发明实施例,有利于提高rookit检测的准确性。
Latest bibliographic data on file with the International Bureau