内核级rootkit是破坏内核完整性的最大威胁,它通常通过冒充或篡改合法模块加载到内核,本文在对内核级rootkit防范技术对比分析的基础上,提出一种认证和检测相结合的内核模块加载机制,该机制把内核模块区分为信任模块和非信任模块,加载前者时首先验证其完整性,加载后者时,验证其身份和完整性,并实时检测其对内核数据的修改。实验表明,该机制能防范内核级rootkit的通过内核模块方式入侵。本文最后对该机制的优缺点及下一步研究方向进行了分析。

• 出版日期2015
• 单位成都师范学院