CN103685233A - 一种基于Windows内核驱动的木马监测方法 - Google Patents
一种基于Windows内核驱动的木马监测方法 Download PDFInfo
- Publication number
- CN103685233A CN103685233A CN201310566399.5A CN201310566399A CN103685233A CN 103685233 A CN103685233 A CN 103685233A CN 201310566399 A CN201310566399 A CN 201310566399A CN 103685233 A CN103685233 A CN 103685233A
- Authority
- CN
- China
- Prior art keywords
- exe
- trojan
- monitoring
- recorded
- cmd
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
为防止木马程序对联网计算机的侵害,本发明提供一种木马监测方法,一旦操作系统执行命令,该方法对执行命令进行分析,首先判断是否为“CMD.EXE”或“RAR.EXE”,如果是,则分析调用“CMD.EXE”或“RAR.EXE”进程的网络连接,如存在网络连接,则记录网络连接端口和IP地址,将该进程理解为木马进程加以重点监测,之后记录其执行的所有命令和文件操作,并对其子进程也进行重点监测,并将监测记录发送到指定服务器,为发现计算机木马提供了一种技术手段,能够记录木马执行命令和文件操作,记录木马控制方IP地址和端口,记录所有操作的时间,同时将监测记录通过网络发送到服务器,由专业人员对记录进行分析,不影响用户正常使用,正常使用计算机无记录。
Description
所属技术领域
本发明属于网络安全技术领域,能够监测联网计算机木马操作。
背景技术
计算机木马危害性很大,虽然杀毒软件、防火墙等技术手段可以拦截木马,但还是有大量计算机被木马控制,给国家、单位、个人带来损失。特别是针对特定杀毒软件研制的专用木马,能在只安装该杀毒软件的计算机内运行而不被发现。网络入侵检测系统是通过分析网络数据来发现异常并阻断网络入侵的技术手段,但一般只有大型网络系统才配备网络入侵检测系统,且由于网络数据巨大,难以分析发现所有的网络入侵。
发明内容
本发明能够对木马进行监测,记录木马控制方IP地址及网络连接端口,记录木马运行命令,文件操作,并将监测记录发送到指定服务器,专业人员根据监测记录可以判断木马性质与危害,并采取相应防护措施。
本发明提供一种基于Windows内核驱动的木马监测方法,其特征在于包括以下步骤:
步骤一:获取进程名称,该进程名如果为“cmd.exe”或“rar.exe”,转到步骤二,该进程名如果不为“cmd.exe”且不为“rar.exe”,转到步骤七;
步骤二:如果该进程为新进程,转到步骤三,如果该进程不是新进程,转到步骤7;
步骤三:获取该进程的父进程ID号,并标记为可疑进程;
步骤四:该父进程有网络连接,转到步骤五,该父进程无网络连接,转到步骤六;
步骤五:记录该父进程名称、IP地址、端口,并加密发送到服务端可疑进程列表存储,报警并继续监控;
步骤六:记录该父进程名称并加密发送到服务端可疑进程列表存储,继续监控;
步骤七:如果服务端可疑进程列表中不存在该进程,继续监控,如果服务端可疑进程列表中存在该进程,转到步骤八;
步骤八:监控该进程的父进程,如果该父进程为“cmd.exe”或存在于服务端可疑进程列表中,转到步骤九,如果该父进程不为“cmd.exe”且不存在于服务端可疑进程列表中,继续监控;
步骤九:该进程为可疑进程,获取其运行参数,报警并加密发送到服务端可疑进程列表存储,继续监控。
本发明解决其技术问题所依据的原理是:计算机木马的主要作用是实现对计算机的远程控制,既能够在被控制计算机执行命令,木马的另一目的是获取计算机内重要文档数据。为增加木马隐蔽性,木马一般通过CMD.EXE在后台执行操作,为方便获取文档,通常使用RAR.EXE将多个文档压缩成一个文件,再通过网络传递出去。基于这一特性,在后台执行CMD.EXE和RAR.EXE的进程,很大程度上是木马进程,至少是具有木马特征的进程,如果这个进程和网络连接,则是木马的可能性更大。而普通人员使用计算机,一般不会执行CMD.EXE和RAR.EXE。
本发明解决其技术问题采用的技术方案是:在联网计算机安装监测驱动,对32位操作系统,HOOK系统内核函数NtCreateSection,对64位操作系统,注册系统回调函数。一旦操作系统执行命令,监测驱动对执行命令进行分析,首先判断是否为“CMD.EXE”或“RAR.EXE”,如果是,则分析调用“CMD.EXE”或“RAR.EXE”进程的网络连接,如存在网络连接,则记录网络连接端口和IP地址,将该进程理解为木马进程加以重点监测,之后记录其执行的所有命令和文件操作,并对其子进程也进行重点监测。EXPLORER.EXE为桌面应用进程,也可能调用CMD.EXE,为避免记录用户正常操作,只记录CMD.EXE执行命令,不记录EXPLORER.EXE执行的其它操作。
本发明的有益效果是,为发现计算机木马提供了一种技术手段,能够记录木马执行命令和文件操作,记录木马控制方IP地址和端口,记录所有操作的时间。将监测记录通过网络发送到服务器,由专业人员对记录进行分析,不影响用户正常使用,正常使用计算机无记录。
附图说明
图1是本发明的监测流程图。
图2是本发明的监测记录样本。
图3是本发明的监测记录样本。
具体实施方式
下面结合附图和实施例对本发明进一步说明。
在图1中,首先获得当前执行进程的文件名,判断是否为“cmd.exe”或“rar.exe”,如果是则分析该进程是否为新进程,如果不是新进程,则不再处理,直接返回。
如果是新进程,则将该进程名及ID号保存到可疑进程列表,再获得其父进程ID和进程名,然后查找当前网络连接进程中是否包含该父进程,如父进程具有网络连接,则记录网络连接的本地IP地址和端口、远程IP地址和端口,连同父进程名一起加密发送到服务器。如父进程不存在网络连接,则只将父进程名加密发送到服务器。如果父进程名不为“explorer.exe”,则将父进程名及ID号保存到可疑进程列表。如果当前进程名不为“cmd.exe”和“rar.exe”,则需判断当前进程是否由可疑进程调用。首先判断可疑进程列表是否为空,为空则不再处理,直接返回,否则获得当前进程的父进程ID和进程名,查看父进程是否在可疑进程列表,如不在,则返回,如果父进程为可疑进程,则获取当前进程的运行参数,连同当前进程名一起加密发送到服务器,并将该进程保存到可疑进程列表,同时,监测驱动注册为文件过滤驱动,只处理PostCreate消息。该消息在文件生成完成(PostCreate)后触发,可获得文件名信息。如果文件操作的当前进程为可疑进程,则记录该文件名并加密发送到服务器。
在图2中,列表第1项为机器编号,第2项为被监测机器的人员信息,第3项为记录时间,第4项为记录内容。在计算机监测驱动安装时,以硬盘序列号为依据产生安装编号,服务器端接收到记录后,根据对应编号保存到相应文件中。
监测记录内容“远程:”表示该进程具有网络连接,其后为进程名,本地IP地址与端口,远程IP地址和端口。
其它监测记录为执行命令。
在图3中,从下向上,第1条记录为“进程:explorer.exe”,表示为当前桌面调用。
第2条记录为“net user”,是查看计算机用户信息。
第3条记录为“ipconfig/all”,是查看计算机网络配置情况。
第4条记录为“远程:scvhost.exe192.168.1.25:4319192.168.1.22:1353”,表示scvhost.exe存在远程连接,192.168.1.25:4319是本地IP地址和端口,192.168.1.22:1353是远程IP地址和端口。
第5条记录为“C:\WINDOWS\system32\conime.exe”,是输入法调用。
第6条记录为“netstat-an”,是查看计算机网络连接情况。
第7条记录为“File:C:\新建文件夹\流程图.doc”,是scvhost.exe操作该文件。
第8条记录为“hyclient”,是执行程序。
第10条记录为“tasklist”,是查看计算机进程执行情况。
第11条记录为“远程:hyclient.exe192.168.1.25:1198114.XXX.83.12:8080”,新加载进程hyclient.exe网络连接情况。
第12条记录为“c:\SVCS.exe”,执行程序
第13条记录为“File:C:\msvsdk.dl1”,是文件操作记录。
Claims (1)
1.一种基于Windows内核驱动的木马监测方法,其特征在于包括以下步骤:
步骤一:获取进程名称,该进程名如果为“cmd.exe”或“rar.exe”,转到步骤二,该进程名如果不为“cmd.exe”且不为“rar.exe”,转到步骤七;
步骤二:如果该进程为新进程,转到步骤三,如果该进程不是新进程,转到步骤7;
步骤三:获取该进程的父进程ID号,并标记为可疑进程;
步骤四:该父进程有网络连接,转到步骤五,该父进程无网络连接,转到步骤六;
步骤五:记录该父进程名称、IP地址、端口,并加密发送到服务端可疑进程列表存储,报警并继续监控;
步骤六:记录该父进程名称并加密发送到服务端可疑进程列表存储,继续监控;
步骤七:如果服务端可疑进程列表中不存在该进程,继续监控,如果服务端可疑进程列表中存在该进程,转到步骤八;
步骤八:监控该进程的父进程,如果该父进程为“cmd.exe”或存在于服务端可疑进程列表中,转到步骤九,如果该父进程不为“cmd.exe”且不存在于服务端可疑进程列表中,继续监控;
步骤九:该进程为可疑进程,获取其运行参数,报警并加密发送到服务端可疑进程列表存储,继续监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310566399.5A CN103685233B (zh) | 2013-11-15 | 2013-11-15 | 一种基于Windows内核驱动的木马监测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310566399.5A CN103685233B (zh) | 2013-11-15 | 2013-11-15 | 一种基于Windows内核驱动的木马监测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103685233A true CN103685233A (zh) | 2014-03-26 |
| CN103685233B CN103685233B (zh) | 2016-09-14 |
Family
ID=50321548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310566399.5A Expired - Fee Related CN103685233B (zh) | 2013-11-15 | 2013-11-15 | 一种基于Windows内核驱动的木马监测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685233B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104678A (zh) * | 2014-07-18 | 2014-10-15 | 南威软件股份有限公司 | 一种基于远程控制系统获取远程数据的方法 |
| CN107135235A (zh) * | 2017-07-05 | 2017-09-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
| CN108334404A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 应用程序的运行方法和装置 |
| CN108777681A (zh) * | 2018-05-29 | 2018-11-09 | 中国人民解放军91977部队 | 基于ndis过滤驱动的网络数据单向传输控制方法 |
| CN111030973A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594248A (zh) * | 2008-05-27 | 2009-12-02 | 奇智软件技术(北京)有限公司 | 信息安全和系统维护的远程协助方法、系统及服务器 |
| CN102004877B (zh) * | 2010-11-19 | 2013-01-23 | 珠海市君天电子科技有限公司 | 监控计算机病毒来源的方法 |
| US8776242B2 (en) * | 2011-11-29 | 2014-07-08 | Raytheon Company | Providing a malware analysis using a secure malware detection process |
-
2013
- 2013-11-15 CN CN201310566399.5A patent/CN103685233B/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104678A (zh) * | 2014-07-18 | 2014-10-15 | 南威软件股份有限公司 | 一种基于远程控制系统获取远程数据的方法 |
| CN108334404A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 应用程序的运行方法和装置 |
| CN108334404B (zh) * | 2017-01-20 | 2022-02-22 | 腾讯科技(深圳)有限公司 | 应用程序的运行方法和装置 |
| CN107135235A (zh) * | 2017-07-05 | 2017-09-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
| CN107135235B (zh) * | 2017-07-05 | 2019-11-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
| CN108777681A (zh) * | 2018-05-29 | 2018-11-09 | 中国人民解放军91977部队 | 基于ndis过滤驱动的网络数据单向传输控制方法 |
| CN111030973A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
| CN111030973B (zh) * | 2019-03-29 | 2023-02-24 | 安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103685233B (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101777062B (zh) | 场境感知的实时计算机保护系统和方法 | |
| JP5002165B2 (ja) | リモートデスクトップシステム | |
| CN103620606B (zh) | 存储检测装置、系统及存储检测方法 | |
| US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
| US9811674B2 (en) | Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data | |
| US20130247190A1 (en) | System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity | |
| CN103685233A (zh) | 一种基于Windows内核驱动的木马监测方法 | |
| CN101593252B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
| CN103250161A (zh) | 用于处理私有元数据的方法 | |
| CN109815700B (zh) | 应用程序的处理方法及装置、存储介质、计算机设备 | |
| CN105338048A (zh) | 一种虚拟桌面基础架构下的文件传输方法和系统 | |
| US11494216B2 (en) | Behavior-based VM resource capture for forensics | |
| CN104850407A (zh) | 一种桌面录屏系统及其录屏方法 | |
| CN113497786B (zh) | 一种取证溯源方法、装置以及存储介质 | |
| EP3531324A1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| JP2014515858A (ja) | 実行中の命令を再結合する方法および装置 | |
| CN101960442A (zh) | 使用虚拟技术输入/输出数据的方法和设备 | |
| US20150235025A1 (en) | Process to prevent malicious changes to electronic files on an electronic storage device | |
| CN101788944A (zh) | 一种利用强制访问控制检测aix系统故障的方法 | |
| KR101308866B1 (ko) | 공개형 악성코드 관리 및 분석 시스템 | |
| CN115906184B (zh) | 一种控制进程访问文件的方法、装置、介质及电子设备 | |
| CN104123217A (zh) | 一种业务服务器执行命令的捕获方法及系统 | |
| CN103051608B (zh) | 一种可移动设备接入监控的方法和装置 | |
| CN103685316A (zh) | 一种网络传输文件的审计处理方法 | |
| CN101593117A (zh) | 一种提高智能密钥设备易用性的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160914 Termination date: 20201115 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |