随着计算机和互联网的快速发展,计算机和网络已经深入到千家万户之中,与人们的生活方式紧密相连在一起,计算机和网络不仅仅是人们娱乐和交流的工具,其在经济和军事等方面的作用也是不可忽视的。由于其扮演的重要角色,其自身的安全性也是不容忽视的,特别是随着计算机和网络的快速发展,相应的技术发展也是非常迅猛,尤其是网络攻击方面,信息技术的安全问题越来越严峻。Linux由于其稳定性得到了广泛的应用,Linux系统下的Rootkit技术逐渐成为了网络安全研究的焦点。本论文主要研究的是Linux系统上Rootkit的检测技术。工欲善其事必先利其器,本论文首先对于Linux系统知识进行了简要的介绍,比如Linux系统架构、用户态内核态、COFF文件、KVM与LKM等等,然后对Linux Rootkit经常使用的一些技术阐述了其原理并就其中一个进行了实现与验证,LinuxRootkit常用的技术有进程隐藏、文件隐藏、端口隐藏,对普通用户提升权限,劫持系统调用等等。在理解Rootkit的基本原理之后,本论文提出了一个Rootkit的检测系统,该系统包含了文件特征与校验检测模块、符号执行分析模块、特征库扫描检测模块、内核数据结构检测模块、已加载系统模块检测模块等等,通过多维度、多模块进行检测,然后给出最终检测结果。本论文也对每个检测模块进行了单独的介绍吗,包括其原理,实现流程等等。最后并对该系统进行了验证,实验结果表明该检测系统是可行的。