[发明专利]一种基于嵌入式系统的Rootkit检测方法及系统

权利要求书

1.一种基于嵌入式系统的Rootkit检测方法，其特征在于，包括：

选取具有PCI插口规范的嵌入式设备，所述嵌入式设备中集成有独立操作系统；

将所述嵌入式设备安装至待检测计算机主板的PCI插槽中；

待检测计算机利用原有操作系统遍历待检测计算机磁盘，获取待检测计算机的文件名列表A；

所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘，获取待检测计算机的文件名列表B；

所述嵌入式设备对比文件名列表A和文件名列表B，当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值，则判定待检测计算机中存在Rootkit。

2.如权利要求1所述的方法，其特征在于，所述待检测计算机利用原有操作系统遍历待检测计算机磁盘，获取待检测计算机的文件名列表A之后，还包括：

将文件名列表A写入到预设路径的文件中，并在所述文件的尾部写入代表文件名列表A是否完整的标识；

所述嵌入式设备每隔预设时间读取所述文件，当判定文件名列表A完整后，则继续所述嵌入式设备利用独立操作系统遍历待检测计算机磁盘，获取待检测计算机的文件名列表B的操作。

3.如权利要求1所述的方法，其特征在于，所述判定待检测计算机中存在Rootkit之后，还包括：将出现次数超过预警值的新增文件名对应的文件路径、警报时间以日志的形式保存至外存，并发出报警声音，提示用户。

4.一种基于嵌入式系统的Rootkit检测系统，其特征在于，包括嵌入式设备和遍历模块：

所述嵌入式设备，具有PCI插口规范，在所述嵌入式设备中集成有独立操作系统；所述嵌入式设备安装在待检测计算机主板的PCI插槽中；

所述遍历模块，位于待检测计算机原有操作系统中，用于遍历待检测计算机磁盘，获取待检测计算机的文件名列表A；

所述嵌入式设备的独立操作系统中集成有系统格式解析模块、异常文件检测模块；

所述系统格式解析模块，用于遍历待检测计算机磁盘，获取待检测计算机的文件名列表B；

所述异常文件检测模块，用于对比文件名列表A和文件名列表B，当文件名列表B中出现新增文件名且所述新增文件名出现次数超过预警值，则判定待检测计算机中存在Rootkit。

5.如权利要求4所述的系统，其特征在于，所述遍历模块在遍历待检测计算机磁盘，获取待检测计算机的文件名列表A之后，还包括：

将文件名列表A写入到预设路径的文件中，并在所述文件的尾部写入代表文件名列表A是否完整的标识；

所述嵌入式设备每隔预设时间读取所述文件，当判定文件名列表A完整后，则由所述系统格式解析模块获取待检测计算机的文件名列表B。

6.如权利要求4所述的系统，其特征在于，所述嵌入式设备还包括威胁预警模块，当异常文件检测模块判定待检测计算机中存在Rootkit之后，威胁预警模块将出现次数超过预警值的新增文件名对应的文件路径、警报时间以日志的形式保存至外存，并发出报警声音，提示用户。