CN201477598U - 终端木马监测装置 - Google Patents
终端木马监测装置 Download PDFInfo
- Publication number
- CN201477598U CN201477598U CN2009202223117U CN200920222311U CN201477598U CN 201477598 U CN201477598 U CN 201477598U CN 2009202223117 U CN2009202223117 U CN 2009202223117U CN 200920222311 U CN200920222311 U CN 200920222311U CN 201477598 U CN201477598 U CN 201477598U
- Authority
- CN
- China
- Prior art keywords
- terminal
- wooden horse
- detection module
- monitoring device
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本实用新型是一种终端木马监测装置,包括:通过对终端文件进行扫描来检测含有已知木马的文件的静态检测模块;通过对终端操作系统运行环境进行扫描来检测未知木马的动态检测模块;分别连接所述静态检测模块和动态检测模块的跟踪分析模块,用于跟踪所述已知木马和未知木马并评估其危险等级;连接所述跟踪分析模块的报表生成模块,用于生成与所评估的危险等级相对应的报表。本实用新型不仅可以检测常规的已知木马还可以检测未知的疑似木马,从而可以确保终端的安全运行。
Description
技术领域
本实用新型涉及一种木马病毒的监测装置,特别涉及一种对注入计算机、服务器或具有计算功能的电子设备进行木马监测的终端木马监测装置。
背景技术
木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
目前的木马查杀工具通常只能检测已知木马,但不能对疑似木马进行检测,因此不能有效查杀计算机或服务器中的木马软件。
发明内容
本实用新型的目的是提供一种能够有效检测已知木马和未知木马的终端木马监测装置,以便用户根据检测报表删除已知木马和未知木马。
本实用新型的上述目的是这样实现的,一种终端木马监测装置,包括:
连接终端的静态检测模块,用于通过对终端文件扫描来检测含有已知木马的文件;
连接终端的动态检测模块,用于通过对终端操作系统运行环境扫描来检测未知木马并评估其危险等级;
分别连接所述静态检测模块和动态检测模块的跟踪分析模块,用于监视所述已知木马和未知木马的可疑进程对文件的操作;
连接所述跟踪分析模块的报表生成模块,用于生成静态检测、动态检测报表及所述可疑进程的行为分析报表。
其中,所述静态检测模块连接终端CPU,对连接所述CPU的终端存储器中存储的所有文件进行扫描。
其中,所述动态检测模块连接所述终端CPU,对所述终端运行的操作系统运行环境进行扫描。
其中,所述报表生成模块的输出连接所述终端CPU,并通过所述终端CPU向终端输出装置输出所述报表。
其中,所述终端是计算机或服务器或具有计算功能的电子设备。
其中,所述终端存储器是硬盘或连接终端的移动存储介质。
其中,所述终端输出装置是终端显示器。
本实用新型的技术效果是:不仅可以检测常规的已知木马还可以检测未知的疑似木马,使用户可以根据所检测的已知和未知木马的危险等级,进行相应处理如删除处理,确保终端的安全运行。
下面结合附图对本实用新型进行详细说明。
附图说明
图1是本实用新型的终端木马监测装置的原理图;
图2是本实用新型的终端木马监测装置的实施例示意图。
具体实施方式
图1显示了本实用新型的终端木马监测装置的基本结构,如图1所示,本实用新型的终端木马监测装置包括:
连接终端2的静态检测模块10,用于通过对终端文件扫描来检测含有已知木马的文件;连接终端2的动态检测模块11,用于通过对终端操作系统运行环境进行扫描来检测未知木马并评估其危险等级;分别连接所述静态检测模块10和动态检测模块11的跟踪分析模块12,用于监视所述已知木马和未知木马的可疑进程对文件的操作;连接所述跟踪分析模块12的报表生成模块13,用于生成静态检测、动态检测报表及所述可疑进程的行为分析报表。
本实用新型所述的木马是木马病毒或木马程序,因此检测木马就是检测进入终端的木马病毒或木马程序。
本实用新型的特点在于:利用静态检测模块10对已知木马进行检测,即静态检测模块10通过特征字匹配的方式对多种已知木马进行检测;利用动态检测模块11对未知木马进行检测,即动态检测模块11对运行环境中的木马行为进行检测,从而发现未知的疑似木马。
本实用新型的终端可以是计算机或服务器或具有计算功能的电子设备。
图2显示了本实用新型的一个实施例,为了便于说明检测终端中木马的问题,该实施例仅显示了终端中与本实用新型有关的CPU 21、输出装置22和存储器23。其中存储器23是硬盘或连接终端的移动存储介质;输出装置22是终端显示器。
如图2所示,静态检测模块10连接终端CPU 21,以便对连接CPU 21的终端存储器23中存储的所有文件进行扫描。
动态检测模块11也连接终端CPU 21,以便对所述终端运行的操作系统运行环境进行扫描。
报表生成模块13的输出连接所述终端CPU 21,并通过所述终端CPU 21向终端输出装置22输出关于木马危险等级的报表。
静态检测模块10、动态检测模块11、跟踪分析模块12以及报表生成模块13可以硬件、固件或者软件之一。当终端开机后,CPU 2调用静态检测模块10和动态检测模块11检测终端中可能存在的已知木马和未知木马,然后由跟踪分析模块12对已检测的已知木马和未知木马进行跟踪分析,估算危险等级,最后由报表生成模块13生成有关已知木马和未知木马的危险等级。
下面对本实用新型的动态检测和静态检测、跟踪分析进行详细说明。
-动态检测:根据木马的启动特征、运行特征及产生的结果等方面入手,全面扫描操作系统运行环境,由于木马的启动方式不同,针对注册表自启动项、BHO插件、ini配置文件、文件关联、启动文件夹等进行扫描并记录其结果信息;针对木马通讯方式不同,扫描程序打开端口、反弹端口、复用端口的信息;针对木马源文件扫描其是否设置隐藏属性,以及为防止被杀毒软件查杀是否对源文件进行了加壳处理;针对木马程序运行后是否留有后门,检查系统账号信息。
以进程为主线,综合分析动态检查的结果,抽取各个进程所对应的特征信息,根据经验设置针对各个检测点的匹配规则及评分值,综合常规木马特征划分多条评比基线,对未知木马进行安全等级划分,满足检测特征的项数越多,危险程度越高,反之危险程度越低。比如:一个名为process.exe的程序,满足动态检查点的2项特征,危险程度则较低,满足4项特征,则危险程度中等,满足6项以上,则危险程度高。
-静态检测:检测扩展名为.exe、.dll、.sys、.tmp、.mof的文件;使用比较成熟的特征码匹配规则(即在木马样本中分析并截取出一段或多段二进制串作为木马特征,唯一标识此种木马),准确检查含有木马的文件。具体过程是:首先用文件遍历引擎搜索指定目录中存在的文件,然后用文件扫描引擎扫描文件,与木马库中的特征码进行特征匹配,如果相吻合就说明被检查的文件被木马感染或者文件本身就是木马程序。例如:文件aa.exe中包含二进制串“0XBF10296C3D4E6A789F”,当静态检测扫描到此文件时,与特征库进行匹配(库中包含“0XBF10296C3D4E6A789F”),则文件能完全匹配上木马特征,即确定此程序为木马程序。
木马检测结果包含对木马多个特征点的检测,主要有:注册表自启动检测结果、BHO插件检测结果、ini配置文件检测结果、启动文件夹检测结果、未知服务检测结果、文件关联检测结果、通讯方式检测结果(打开端口、反弹端口、端口复用)、加壳文件隐藏文件检测结果、系统账号检测结果。
-跟踪分析:以进程名为主线,从检查结果中抽取各项相关信息,组合起来,就可以看出一个程序具备哪些功能。比如:一个进程的名字为“horse.exe”,如果它有上述检查项中的行为就会被检查出来,如设置了注册表自启动、更改了文件关联、打开端口等等。从而可以分析出木马程序具备哪些功能。
本实用新型不仅可以检测常规的已知木马还可以检测未知的疑似木马,因而用户可以根据所检测的已知和未知木马的危险等级,进行相应处理如删除处理,从而确保终端的安全运行。
尽管上文对本实用新型进行了详细说明,但是本实用新型不限于此,本技术领域技术人员可以根据本实用新型的原理进行各种修改。因此,凡按照本实用新型原理所作的修改,都应当理解为落入本实用新型的保护范围。
Claims (7)
1.一种终端木马监测装置,其特征在于包括:
连接终端(2)静态检测模块(10),用于通过对终端文件扫描来检测含有已知木马的文件;
连接终端(2)以的动态检测模块(11),用于通过对终端操作系统运行环境进行扫描来检测未知木马并评估其危险等级;
分别连接所述静态检测模块(10)和动态检测模块(11)的跟踪分析模块(12),用于监视所述已知木马和未知木马的可疑进程对文件的操作;
连接所述跟踪分析模块(12)的报表生成模块(13),用于生成静态检测、动态检测报表及所述可疑进程的行为分析报表。
2.根据权利要求1所述的终端木马监测装置,其特征在于,所述静态检测模块(10)连接终端CPU(21),对连接所述CPU(21)的终端存储器(23)中存储的所有文件进行扫描。
3.根据权利要求1或2所述的终端木马监测装置,其特征在于,所述动态检测模块(11)连接所述终端CPU(21),对所述终端运行的操作系统运行环境进行扫描。
4.根据权利要求3所述的终端木马监测装置,其特征在于,所述报表生成模块(13)的输出连接所述终端CPU(21),并通过所述终端CPU(21)向终端输出装置(22)输出所述报表。
5.根据权利要求4所述的终端木马监测装置,其特征在于,所述终端是计算机或服务器。
6.根据权利要求4所述的终端木马监测装置,其特征在于,所述终端存储器(23)是硬盘或连接终端的移动存储介质。
7.根据权利要求4所述的终端木马监测装置,其特征在于,所述终端输出装置(22)是终端显示器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202223117U CN201477598U (zh) | 2009-09-01 | 2009-09-01 | 终端木马监测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202223117U CN201477598U (zh) | 2009-09-01 | 2009-09-01 | 终端木马监测装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201477598U true CN201477598U (zh) | 2010-05-19 |
Family
ID=42413853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009202223117U Expired - Lifetime CN201477598U (zh) | 2009-09-01 | 2009-09-01 | 终端木马监测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201477598U (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663288A (zh) * | 2012-03-22 | 2012-09-12 | 奇智软件(北京)有限公司 | 病毒查杀方法及装置 |
| CN103150512A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种蜜罐系统和运用该系统检测木马的方法 |
| CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
| CN103905419A (zh) * | 2013-12-04 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种文件鉴定装置及方法 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN103955644A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端自启动项的静态木马检测方法 |
| CN104021338A (zh) * | 2014-06-03 | 2014-09-03 | 北京奇虎科技有限公司 | 启动项检测的方法、装置及系统 |
| CN104462972A (zh) * | 2014-12-19 | 2015-03-25 | 浪潮电子信息产业股份有限公司 | 一种木马查杀工具 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
-
2009
- 2009-09-01 CN CN2009202223117U patent/CN201477598U/zh not_active Expired - Lifetime
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
| CN102663288A (zh) * | 2012-03-22 | 2012-09-12 | 奇智软件(北京)有限公司 | 病毒查杀方法及装置 |
| CN103150512A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种蜜罐系统和运用该系统检测木马的方法 |
| CN103150512B (zh) * | 2013-03-18 | 2015-10-21 | 珠海市君天电子科技有限公司 | 一种蜜罐系统和运用该系统检测木马的方法 |
| CN103905419A (zh) * | 2013-12-04 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种文件鉴定装置及方法 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN103955644A (zh) * | 2014-04-25 | 2014-07-30 | 国家电网公司 | 一种基于终端自启动项的静态木马检测方法 |
| CN103955644B (zh) * | 2014-04-25 | 2017-06-06 | 国家电网公司 | 一种基于终端自启动项的静态木马检测方法 |
| CN104021338A (zh) * | 2014-06-03 | 2014-09-03 | 北京奇虎科技有限公司 | 启动项检测的方法、装置及系统 |
| CN104462972A (zh) * | 2014-12-19 | 2015-03-25 | 浪潮电子信息产业股份有限公司 | 一种木马查杀工具 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN201477598U (zh) | 终端木马监测装置 | |
| Hussain et al. | IMIAD: intelligent malware identification for android platform | |
| CN109145600B (zh) | 使用静态分析元素检测恶意文件的系统和方法 | |
| Zheng et al. | Droid analytics: a signature based analytic system to collect, extract, analyze and associate android malware | |
| Alzaylaee et al. | DynaLog: An automated dynamic analysis framework for characterizing android applications | |
| KR102057565B1 (ko) | 멀웨어를 검출하기 위한 컴퓨팅 디바이스 | |
| CN110826064B (zh) | 一种恶意文件的处理方法、装置、电子设备以及存储介质 | |
| Sharma et al. | Mining api calls and permissions for android malware detection | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
| Alazab et al. | Analysis of malicious and benign android applications | |
| US20120002839A1 (en) | Malware image recognition | |
| US8640233B2 (en) | Environmental imaging | |
| KR20110119918A (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| US10747879B2 (en) | System, method, and computer program product for identifying a file used to automatically launch content as unwanted | |
| Naz et al. | Review of machine learning methods for windows malware detection | |
| Apvrille et al. | Identifying unknown android malware with feature extractions and classification techniques | |
| CN104598820A (zh) | 一种基于特征行为分析的木马病检测方法 | |
| CN114329448A (zh) | 一种系统安全检测方法、装置、电子设备及存储介质 | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| CN111898126B (zh) | 一种基于动态获取用户界面的Android重打包应用检测方法 | |
| Shahriar et al. | Detection of repackaged android malware | |
| Yu et al. | Maltracker: A Fine-Grained NPM Malware Tracker Copiloted by LLM-Enhanced Dataset | |
| CN103699838B (zh) | 病毒的识别方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20100519 |
|
| CX01 | Expiry of patent term |