rootkit是黑客成功入侵系统后用来保持系统的超级用户权限并隐藏痕迹的一种工具。根据rootkit运行的层次可以分为应用层rootkit和内核级rootkit。目前,对应用层的rootkit检测技术已经比较成熟,但还没有能够很好的反击内核级rootkit的工具。主要原因在于内核级rootkit拥有的权限和反rootkit模块能取得的权限一样高。本文先分析了内核级rootkit的攻击原理,然后基于反rootkit模块权限比内核级rootkit高这一个原则,本文在lguest虚拟机中设计与实现了针对Linux操作系统内核的反rootkit模块。在此模块中实现了这样的访问控制机制:除来自可信任的操作系统核心代码段的代码外,来自其它地方的代码不允许对客户机内核被保护内存区域写操作;除来自可信任的操作系统核心代码段的代码外,来自其它地方的代码不允许对虚拟出来的被监控的客户机的特权寄存器写操作;被保护或者说被监控的内存部分包括客户机操作系统核心内核的代码段、内核的只读数据段、异常表段以及重要的会成为rootkit攻击目标的全局数据;被保护的或者说被监控的寄存器目前包括IDTR、GDTR、SYSENTER_EIP_MSR和调试寄存器等我们通过清除被保护内存区域的影子页表中的_PAGE_RW位实现对内存区域的写保护,通过截获特权寄存器写操作的hypercall实现对寄存器的写保护。实验结果表明,本文实现的原型系统在反linux2.6内核的rootkit上有良好表现而仅仅损失了些许性能。