CN115828228A - 一种验证内存马检测能力的方法、装置及电子设备 - Google Patents
一种验证内存马检测能力的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115828228A CN115828228A CN202310148716.5A CN202310148716A CN115828228A CN 115828228 A CN115828228 A CN 115828228A CN 202310148716 A CN202310148716 A CN 202310148716A CN 115828228 A CN115828228 A CN 115828228A
- Authority
- CN
- China
- Prior art keywords
- horse
- memory
- hash value
- drone
- alarm log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供一种验证内存马检测能力的方法、装置及电子设备,所述验证内存马检测能力的方法包括:控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将所述内存马的类名修改为所述哈希值,得到测试内存马;控制所述测试内存马攻击靶机,并接收所述靶机发送的告警日志,并判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值;若所述告警日志的固定字段中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若所述告警日志的固定字段中不包括测试内存马类名对应的哈希值,则确认所述安全软件不具备内存马检测能力。采用本申请实施例,具有实现准确判断内存马是否被安全软件检测的作用。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种验证内存马检测能力的方法、装置及电子设备。
背景技术
随着科技的发展,越来越多的资料被存储在计算机中,黑客通常使用木马来窃取被控计算机中的密码和重要文件,对被控计算机实施监控、资料修改等非法操作,所以,怎样在计算机被木马攻击时检测到木马是抵御木马攻击的非常重要的环节。
木马的种类多样,其中一种为内存马,也称webshell内存木马,是指在内存中写入恶意后门和木马并执行,达到远程控制Web服务器的一类内存木马,内存马攻击计算机时不生成恶意文件,手段较为隐蔽,抽象程度高。现有技术中,通常使用安全软件检测计算机中的内存马,安全软件会实时监控、捕捉 JavaWeb 服务进程内存中存在的未知类,若检测到Java 内存马,安全软件会在告警日志中进行内存马告警,当检测人员发现告警日志中存在内存马的攻击时,即检测到内存马。
当需要测试安全软件是否具有检测内存马的能力时,若安全软件的告警日志中具有多条告警信息且告警信息较为简略,此时无法确认哪一条告警信息为本次内存马攻击的信息,难以准确判断内存马是否被安全软件检测。
发明内容
为了实现准确判断内存马是否被安全软件检测,本申请提供一种验证内存马检测能力的方法、装置及电子设备。
在本申请的第一方面提供了一种验证内存马检测能力的方法。
一种验证内存马检测能力的方法,包括以下步骤:
控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将所述内存马的类名修改为所述哈希值,得到测试内存马;
控制所述测试内存马攻击靶机,并接收所述靶机发送的告警日志,并判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值;
若所述告警日志的固定字段中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若所述告警日志的固定字段中不包括测试内存马类名对应的哈希值,则确认所述安全软件不具备内存马检测能力。
通过采用上述技术方案,在攻击机中控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将内存马的类名修改为哈希生成器生成的哈希值,将修改类名后的测试内存马攻击靶机后通过告警日志的固定字段中是否存在对应的哈希值,判断安全软件是否检测到了内存马,由于可以直接在告警日志中寻找对应的哈希值,而哈希值为唯一值,且由计算机自动查找,可以直接找到告警日志中测试内存马攻击靶机的部分,实现准确测试安全软件的检测能力的效果。
可选的,将所述测试内存马的类名修改为所述哈希值,包括以下步骤:
读取所述内存马的类以得到所述内存马的类名;
将所述类名的字节码修改为包括所述哈希值的字节码;
将修改的类名作为测试内存马的新的类。
通过采用上述技术方案,读取内存马生成器生成的内存马,得到内存马的类的类名,将类名修改为哈希生成器生成的哈希值,将修改后的类名写入内存马的新类中,通过上述方法将哈希值插入内存马中,使得能通过检测对应的哈希值来判断安全软件是否具有检测内存马的能力。
可选的,所述控制所述测试内存马攻击靶机,包括以下步骤:
将所述测试内存马进行编码得到内存马编码文件;
基于靶机内预置的反序列漏洞,将所述内存马编码文件发送至靶机中。
通过采用上述技术方案,将整个测试内存马进行编码得到内存马编码文件,通过预置的靶机的漏洞将内存马编码文件“注入”漏洞,使测试内存马加载至靶机的内存中,具有模拟使用内存马攻击计算机的场景的作用。
可选的,将所述内存马编码文件发送至靶机后,包括以下步骤:
根据预置的HTTP参数执行内存马攻击命令,并接收靶机对于HTTP的响应信息;
判断所述响应信息内是否包括靶机的基本信息,所述基本信息包括靶机的IP地址;
若响应信息内包括基本信息,则确认测试内存马成功攻击靶机;
若响应信息内不包括基本信息,则确认测试内存马攻击靶机失败。
通过采用上述技术方案,在发出攻击命令后,接收靶机的响应信息,可以根据响应信息判断测试内存马是否成功攻击了靶机,如果攻击失败,检测人员可以查找攻击失败的原因。
可选的,所述判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值,包括以下步骤:
发送所述哈希值至告警检测模块;
通过所述告警检测模块,在告警日志的固定字段中寻找是否存在对应的测试内存马类名的哈希值。
通过采用上述技术方案,将哈希生成器生成的哈希值发送到攻击机的告警检测模块中,告警检测模块接收到靶机发送的告警日志后,通过在告警日志的固定字段中直接寻找含有哈希值的告警信息,由于查找速度快,所以检测安全软件是否具有检测内存马的能力的整个过程也非常迅速。
可选的,所述基于靶机内预置的反序列漏洞,将所述内存马编码文件发送至靶机前,包括以下步骤:
通过固定秘钥对所述测试内存马进行AES加密。
通过采用上述技术方案,使用加密的内存马攻击靶机,一方面,有漏洞的靶机对加密的内存马进行解密,使得内存马能成功加载进内存,另一方面,进行加密再通过反序列漏洞解密这种方式攻击靶机,哈希值不会在HTTP流量层进行显示,减少误判的可能。
可选的,所述接收所述靶机发送的告警日志前,包括以下步骤:
获取所述告警日志的获取权限,使得在攻击机的告警检测模块中能接收到靶机发送的告警日志。
通过采用上述技术方案,当靶机的安全软件在检测内存马后,将告警信息发送至告警日志中,攻击机获取到靶机的告警日志的获取权限,即安全日志对接到攻击机的告警检测模块,可以实现在一台计算机上判断各种靶机上安全软件的检测能力。
在本申请的第二方面提供了一种验证内存马检测能力的装置:
类名修改模块,用于控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将所述内存马的类名修改为所述哈希值,得到测试内存马;
内存马攻击模块,用于控制所述测试内存马攻击靶机,并接收所述靶机发送的告警日志,并判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值;
验证模块,用于若所述告警日志的固定字段中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若所述告警日志的固定字段中不包括测试内存马类名对应的哈希值,则确认所述安全软件不具备内存马检测能力。
在本申请的第三方面提供了一种电子设备,包括处理器、存储器、用户接口及网络接口,所述存所述存储器用于存储指令,所述用户接口和网络接口用于给其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述电子设备执行一种验证内存马检测能力的方法。
综上所述,本申请包括以下至少一种有益技术效果:
1.使用本申请,可以由计算机自动找到告警日志中内存马攻击靶机的部分,实现大规模准确测试安全软件的检测能力的效果;
2.使用本申请,由于计算机查找哈希值的速度快,对比人工检测,本申请检测安全软件是否具有检测内存马的能力的整个过程更迅速;
3.使用本申请,采用加密的内存马攻击靶机,一方面,有漏洞的靶机对加密的内存马进行解密,使得测试内存马能成功加载进内存,另一方面,进行加密再解密这种方式攻击靶机,哈希值不会在HTTP流量层进行显示,减少误判的可能。
附图说明
图1是本申请实施例的一种验证内存马检测能力的方法的流程示意图;
图2是本申请实施例的一种验证内存马检测能力的方法的模型示意图;
图3是本申请实施例的一种验证内存马检测能力的装置的模块示意图;
图4是本申请实施例的一种电子设备的结构示意图。
附图标记说明:1、类名修改模块;2、内存马攻击模块;3、验证模块; 1000、电子设备;1001、处理器;1002、通信总线;1003、用户接口;1004、网络接口;1005、存储器。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。
在本申请实施例的描述中,“示性的”、“例如”或者“举例来说”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示性的”、“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示性的”、“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
在本申请实施例的描述中,术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例公开一种验证内存马检测能力的方法。
参照图1与图2,一种验证内存马检测能力的方法包括以下步骤:
S10:控制哈希生成器生成哈希值,控制内存马生成器生成内存马;
在本实施例中,靶机为本申请中模拟内存马攻击场景的被攻击计算机,攻击机为本申请中模拟内存马攻击场景的攻击计算机,攻击机为本申请的执行主体,安全软件为本申请的被检测对象,安全软件被下载至靶机后,安全软件会实时监控、捕捉 JavaWeb 服务进程内存中存在的未知类,自动识别内存木马。安全软件根据需要被检测的对象进行合理选择,安全软件具体可以是青藤万相HIDS、腾讯主机安全。
哈希值为8位随机字符串,应当注意的是,本申请中哈希生成器随机生成的哈希值为伪随机生成,即每次生成的哈希值均不相同,在随机字符串的长度选择上,若随机字符串的长度过短可能会出现字符串重复的现象,若随机字符串的长度过长,将字符串输入代码中时可能会漏掉信息,故随机字符串的长度范围为6位至12位,长度可根据场景需要进行灵活选择,哈希生成器为攻击机中生成随机哈希值的预置模块。
内存马生成器为攻击机中生成内存马的应用工具,具体可以是冰蝎或者是哥斯拉,可以根据需要测试的内存马种类进行相应变化,内存马生成器生成的内存马为入侵靶机网站的动态脚本。
具体的,在攻击机中控制哈希生成器生成哈希值,并控制内存马生成器生成内存马,使得攻击机能使用内存马攻击靶机从而完成本申请的检测步骤。
S20:读取内存马的类以得到内存马的类名,将类名的字节码修改为包括哈希值的字节码,将修改的类名作为测试内存马的新的类;
在本实施例中,类为内存马的一种引用数据类型,一个类首先需要自定义一个类名。
具体的,内存马生成器生成的内存马的代码中存在内存马的类,内存马的类名为内存马的类的一种标识,在本实施例中,可以通过预置的类名修改程序对内存马的类名进行修改,得到测试内存马,修改的具体过程为:编译内存马的程序后,对内存马中的类进行读取,解析内存马的类名,得到类名的字节码,将类名的字节码修改为包括哈希值的字节码,得到测试内存马的新类,并将测试内存马的字节码文件进行保存。
其中,字节码文件指将测试内存马的代码进行编译后的文件,字节码文件是一种二进制文件,字节码文件可被攻击机中的JRE解析。
例如,哈希生成器生成的哈希值1a2b3c4d,将原有内存马的类修改为包含哈希值的类(例如:org.apache.tomcat.<1a2b3c4d>)。
S30:基于靶机内预置的反序列漏洞,将内存马编码文件发送至靶机;
其中,漏洞为靶机系统的弱点,可以降低对危险事件的敏感性,靶机中预先设置有反序列漏洞,反序列漏洞的获取方式为:获取靶机中将对象转换为数据的类,通过反序列化程序将数据构造为对象,得到反序列化漏洞。
具体的,保存修改类名的测试内存马的字节码文件后,基于预置的固定秘钥,使用AES加密算法将内存马编码文件进行加密,将加密内存马的字节码文件进行编码,得到加密的内存马编码文件,编码方式具体可以使用base64编码对加密字节码文件进行编码,编码后得到加密的内存马编码文件,AES加密算法为现有的一种对文件进行加密的算法。将加密的内存马编码文件发送至靶机后,使得靶机可以基于反序列漏洞将加密的内存马编码文件进行解密,从而使测试内存马直接加载到靶机的内存中。
S40:根据预置的HTTP参数执行内存马攻击命令,接收靶机对于HTTP的响应信息,判断响应信息内是否包括靶机的基本信息,若响应信息内包括基本信息,则确认测试内存马成功攻击靶机,若响应信息内不包括基本信息,则确认测试内存马攻击靶机失败;
其中,HTTP参数为靶机服务器的地址,即靶机的url,响应信息为攻击机使用内存马成功攻击靶机后,接收的靶机发送的响应,响应信息包括靶机的基本信息,基本信息包括靶机的IP地址以及计算机内存文件等。
具体的,攻击机内存在预置的内存马攻击模块,在内存马攻击模块中输入靶机的HTTP参数,使内存马攻击模块与靶机服务器建立连接关系,执行内存马攻击命令使测试内存马攻击靶机,攻击命令中包括获取靶机的基本信息的指令,若接收到靶机发送的对获取基本信息指令的响应,则测试内存马成功攻击靶机,即若测试内存马成功攻击靶机,则接收到的HTTP的响应信息中会包括靶机的基本信息,若测试内存马攻击靶机失败,则接收到的HTTP并响应信息中不存在靶机的基本信息。
S50:获取告警日志的获取权限,接收靶机发送的告警日志;
其中,告警日志为靶机的系统在检测计算机后,按照时间先后顺序记录计算机在运行过程中发生的错误信息形成的日志,在本申请中,安全软件检测到靶机存在测试内存马后,将关于测试内存马的告警信息发送至系统的告警日志中,关于测试内存马的告警信息包括靶机的IP地址、攻击的内存马的类名等,所以在本申请中,告警信息内包括包含哈希值的测试内存马类名。
具体的,攻击机中的告警检测模块获取靶机告警日志的获取权限,通过该权限,告警检测模块能实时获取靶机的告警日志。
其中,告警检测模块为攻击机中接收告警日志,并通过告警日志检测内存马攻击的模块。
S60:发送哈希值至告警检测模块,通过告警检测模块,在告警日志中寻找是否存在对应的内存马类名的哈希值;
具体的,当哈希生成器生成随机哈希值后,将哈希值发送至告警检测模块,告警检测模块接收到告警日志以及哈希值后,基于接收的哈希值,在告警日志中自动寻找对应的内存马类名的哈希值,并将告警日志中存在哈希值的字段进行显示,该字段中包括内存马攻击靶机的攻击手法以及技术细节等内容。
在本实施例中,由于上述步骤中先将内存马进行加密,再利用反序列化漏洞将内存马解密,使得测试内存马在攻击时靶机时,攻击机向HTTP发送请求以及接收响应信息的过程中,均不会存在明显的攻击特征,所以在得到的告警日志中,关于HTTP发送请求以及接收响应信息这部分内容均不会出现随机哈希值,使得随机哈希值只出现在内存马攻击的这部分内容中,即哈希值仅出现在告警日志的固定字段中。
S61:若告警日志中包括内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若告警日志中不包括内存马类名对应的哈希值,则确认安全软件不具备内存马检测能力。
具体的,测试内存马攻击成功后,若告警检测模块在预置时间内查找到告警日志中的测试内存马类名对应的哈希值,则在攻击机的显示端显示安全软件具备内存马检测能力的信息,并显示告警日志中哈希值所在的字段,若告警检测模块未在预置时间内查找到告警日志中的测试内存马类名对应的哈希值,则在攻击机的显示端显示安全软件不具备内存马检测能力的信息。
本申请实施例一种验证内存马检测能力的方法的实施原理为:控制哈希生成器生成哈希值,将哈希值发送到告警检测模块,控制内存马生成器生成内存马,将内存马的类名修改为哈希值得到测试内存马,控制测试内存马攻击靶机,得到靶机的告警日志的获取权限后,接收靶机发送的告警日志,并判断告警日志中是否包括测试内存马类名对应的哈希值,若告警日志中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若告警日志中不包括测试内存马类名对应的哈希值,则确认安全软件不具备内存马检测能力,从而实现自动化检测安全软件是否具有内存马检测能力的效果。
参照图3,一种验证内存马检测能力的装置包括:类名修改模块1、内存马攻击模块2以及验证模块3。
类名修改模块1,用于控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将内存马的类名修改为哈希值,得到测试内存马;
内存马攻击模块2,用于控制测试内存马攻击靶机,并接收安全软件发送的告警日志,并判断告警日志中是否包括测试内存马类名对应的哈希值;
验证模块3,用于若告警日志中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若告警日志中不包括测试内存马类名对应的哈希值,则确认安全软件不具备内存马检测能力。
需要说明的是:上述实施例提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置和方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
请参照图4,为本申请实施例提供了一种电子设备的结构示意图。如图4所示,所述电子设备1000可以包括:至少一个处理器1001,至少一个网络接口1004,用户接口1003,存储器1005,至少一个通信总线1002。
其中,通信总线1002用于实现这些组件之间的连接通信。
其中,用户接口1003可以包括显示屏(Display)、摄像头(Camera),可选用户接口1003还可以包括标准的有线接口、无线接口。
其中,网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
其中,处理器1001可以包括一个或者多个处理核心。处理器1001利用各种接口和线路连接整个服务器内的各个部分,通过运行或执行存储在存储器1005内的指令、程序、代码集或指令集,以及调用存储在存储器1005内的数据,执行服务器的各种功能和处理数据。可选的,处理器1001可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-ProgrammableGate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器1001可集成中央处理器(CentralProcessing Unit,CPU)、图像处理器(Graphics Processing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示屏所需要显示的内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器1001中,单独通过一块芯片进行实现。
其中,存储器1005可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。可选的,该存储器1005包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器1005可用于存储指令、程序、代码、代码集或指令集。存储器1005可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等;存储数据区可存储上面各个方法实施例中涉及的数据等。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图4所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及一种验证内存马检测能力的方法的应用程序。
在图4所示的电子设备1000中,用户接口1003主要用于为用户提供输入的接口,获取用户输入的数据;而处理器1001可以用于调用存储器1005中存储一种验证内存马检测能力的方法的应用程序,当由一个或多个处理器执行时,使得电子设备执行如上述实施例中一个或多个所述的方法。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必需的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所披露的装置,可通过其他的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口,装置或单元的间接耦合或通信连接,可以是电性或其他的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述者,仅为本公开的示例性实施例,不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰,皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践真理的公开后,将容易想到本公开的其他实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的范围和精神由权利要求限定。
Claims (9)
1.一种验证内存马检测能力的方法,其特征在于,所述方法包括以下步骤:
控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将所述内存马的类名修改为所述哈希值,得到测试内存马;
控制所述测试内存马攻击靶机,并接收所述靶机发送的告警日志,并判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值;
若所述告警日志的固定字段中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若所述告警日志的固定字段中不包括测试内存马类名对应的哈希值,则确认所述安全软件不具备内存马检测能力。
2.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述将所述内存马的类名修改为所述哈希值,包括以下步骤:
读取所述内存马的类以得到所述内存马的类名;
将所述类名的字节码修改为包括所述哈希值的字节码;
将修改的类名作为测试内存马的新的类。
3.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述控制所述测试内存马攻击靶机,包括以下步骤:
将所述测试内存马进行编码得到内存马编码文件;
基于靶机内预置的反序列漏洞,将所述内存马编码文件发送至靶机。
4.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述将所述内存马编码文件发送至靶机后,包括以下步骤:
根据预置的HTTP参数执行内存马攻击命令,并接收靶机对于HTTP的响应信息;
判断所述响应信息内是否包括靶机的基本信息,所述基本信息包括靶机的IP地址;
若响应信息内包括基本信息,则确认测试内存马成功攻击靶机;
若响应信息内不包括基本信息,则确认测试内存马攻击靶机失败。
5.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值,包括以下步骤:
发送所述哈希值至告警检测模块;
通过所述告警检测模块,在告警日志的固定字段中寻找是否存在对应的测试内存马类名的哈希值。
6.根据权利要求3所述的一种验证内存马检测能力的方法,其特征在于,所述基于靶机内预置的反序列漏洞,将所述内存马编码文件发送至靶机前,包括以下步骤:
通过固定秘钥对所述测试内存马进行AES加密。
7.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述接收所述靶机发送的告警日志前,包括以下步骤:
获取所述告警日志的获取权限,使得在攻击机的告警检测模块中能接收到靶机发送的告警日志。
8.一种验证内存马检测能力的方法的装置,其特征在于,所述装置包括:
类名修改模块(1),用于控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将所述内存马的类名修改为所述哈希值,得到测试内存马;
内存马攻击模块(2),用于控制所述测试内存马攻击靶机,并接收所述靶机发送的告警日志,并判断所述告警日志中是否包括测试内存马类名对应的哈希值;
验证模块(3),用于若所述告警日志中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若所述告警日志中不包括测试内存马类名对应的哈希值,则确认所述安全软件不具备内存马检测能力。
9.一种电子设备,其特征在于,包括处理器、存储器、用户接口及网络接口,所述存储器用于存储指令,所述用户接口和网络接口用于给其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述电子设备执行如权利要求1-7任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310148716.5A CN115828228B (zh) | 2023-02-22 | 2023-02-22 | 一种验证内存马检测能力的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310148716.5A CN115828228B (zh) | 2023-02-22 | 2023-02-22 | 一种验证内存马检测能力的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115828228A true CN115828228A (zh) | 2023-03-21 |
| CN115828228B CN115828228B (zh) | 2023-04-28 |
Family
ID=85522107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310148716.5A Active CN115828228B (zh) | 2023-02-22 | 2023-02-22 | 一种验证内存马检测能力的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115828228B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117792805A (zh) * | 2024-02-28 | 2024-03-29 | 北京长亭科技有限公司 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
| CN117792805B (zh) * | 2024-02-28 | 2024-05-24 | 北京长亭科技有限公司 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070168982A1 (en) * | 2006-01-18 | 2007-07-19 | Horne Jefferson D | Method and system for detecting obfuscatory pestware in a computer memory |
| CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
| CN112383535A (zh) * | 2020-11-10 | 2021-02-19 | 平安普惠企业管理有限公司 | 哈希传递攻击行为的检测方法、装置和计算机设备 |
| CN114780922A (zh) * | 2022-05-11 | 2022-07-22 | 杭州安恒信息技术股份有限公司 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
-
2023
- 2023-02-22 CN CN202310148716.5A patent/CN115828228B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070168982A1 (en) * | 2006-01-18 | 2007-07-19 | Horne Jefferson D | Method and system for detecting obfuscatory pestware in a computer memory |
| CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
| CN112383535A (zh) * | 2020-11-10 | 2021-02-19 | 平安普惠企业管理有限公司 | 哈希传递攻击行为的检测方法、装置和计算机设备 |
| CN114780922A (zh) * | 2022-05-11 | 2022-07-22 | 杭州安恒信息技术股份有限公司 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117792805A (zh) * | 2024-02-28 | 2024-03-29 | 北京长亭科技有限公司 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
| CN117792805B (zh) * | 2024-02-28 | 2024-05-24 | 北京长亭科技有限公司 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115828228B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10402179B1 (en) | Application randomization mechanism | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| Suarez-Tangil et al. | Stegomalware: Playing hide and seek with malicious components in smartphone apps | |
| Liu et al. | On manually reverse engineering communication protocols of linux-based iot systems | |
| TWI541669B (zh) | Detection systems and methods for static detection applications, and computer program products | |
| CN111163094B (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
| CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
| JP2012008732A (ja) | インストール制御装置およびプログラム | |
| CN109818906B (zh) | 一种设备指纹信息处理方法、装置及服务器 | |
| Cho et al. | DexMonitor: dynamically analyzing and monitoring obfuscated Android applications | |
| WO2019134276A1 (zh) | 一种保护网页代码的方法、存储介质、电子设备和系统 | |
| Wang et al. | One Size Does Not Fit All: Uncovering and Exploiting Cross Platform Discrepant {APIs} in {WeChat} | |
| KR101557455B1 (ko) | 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법 | |
| US11658996B2 (en) | Historic data breach detection | |
| CN109214179B (zh) | 一种程序模块安全检测方法及装置 | |
| CN115828228B (zh) | 一种验证内存马检测能力的方法、装置及电子设备 | |
| US20160210474A1 (en) | Data processing apparatus, data processing method, and program | |
| CN114172720A (zh) | 一种密文攻击流量的检测方法及相关装置 | |
| CN114244600A (zh) | 一种干扰恶意程序的方法 | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| CN113114681A (zh) | 测试报文处理方法、装置、计算机系统及可读存储介质 | |
| US11611570B2 (en) | Attack signature generation | |
| JP7013297B2 (ja) | 不正検知装置、不正検知ネットワークシステム、及び不正検知方法 | |
| CN112597449B (zh) | 软件加密方法、装置、设备及存储介质 | |
| CN107608849A (zh) | 一种面向安卓app加密内容的快速识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |