專利名稱:終端木馬監(jiān)測(cè)裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種木馬病毒的監(jiān)測(cè)裝置�,特別涉及一種對(duì)注入計(jì)算機(jī)、服務(wù)器
或具有計(jì)算功能的電子設(shè)備進(jìn)行木馬監(jiān)測(cè)的終端木馬監(jiān)測(cè)裝置��。
背景技術(shù):
木馬程序是目前比較流行的病毒文件����,與一般的病毒不同,它不會(huì)自我繁殖���,也并 不"刻意"地去感染其他文件�����,它通過將自身偽裝吸引用戶下載執(zhí)行�����,向施種木馬者提供打 開被種者電腦的門戶����,使施種者可以任意毀壞、竊取被種者的文件���,甚至遠(yuǎn)程操控被種者的 電腦���。"木馬"與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似,但由于遠(yuǎn)程控制軟件 是"善意"的控制�����,因此通常不具有隱蔽性����;"木馬"則完全相反,木馬要達(dá)到的是"偷竊"性 的遠(yuǎn)程控制����,如果沒有很強(qiáng)的隱蔽性的話,那就是"毫無價(jià)值"的��。 它是指通過一段特定的程序(木馬程序)來控制另一臺(tái)計(jì)算機(jī)�。木馬通常有兩個(gè) 可執(zhí)行程序一個(gè)是客戶端���,即控制端�����,另一個(gè)是服務(wù)端����,即被控制端。植入被種者電腦的是 "服務(wù)器"部分��,而所謂的"黑客"正是利用"控制器"進(jìn)入運(yùn)行了 "服務(wù)器"的電腦���。運(yùn)行了 木馬程序的"服務(wù)器"以后����,被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開��,使黑客可以利用 這些打開的端口進(jìn)入電腦系統(tǒng)���。木馬的服務(wù)一旦運(yùn)行并被控制端連接���,其控制端將享有服 務(wù)端的大部分操作權(quán)限,例如給計(jì)算機(jī)增加口令���,瀏覽���、移動(dòng)��、復(fù)制��、刪除文件�,修改注冊(cè)表����, 更改計(jì)算機(jī)配置等。 目前的木馬查殺工具通常只能檢測(cè)已知木馬���,但不能對(duì)疑似木馬進(jìn)行檢測(cè)�����,因此 不能有效查殺計(jì)算機(jī)或服務(wù)器中的木馬軟件�。
發(fā)明內(nèi)容本實(shí)用新型的目的是提供一種能夠有效檢測(cè)已知木馬和未知木馬的終端木馬監(jiān) 測(cè)裝置�����,以便用戶根據(jù)檢測(cè)報(bào)表刪除已知木馬和未知木馬��。
本實(shí)用新型的上述目的是這樣實(shí)現(xiàn)的,一種終端木馬監(jiān)測(cè)裝置��,包括 連接終端的靜態(tài)檢測(cè)模塊����,用于通過對(duì)終端文件掃描來檢測(cè)含有已知木馬的文
件�����; 連接終端的動(dòng)態(tài)檢測(cè)模塊��,用于通過對(duì)終端操作系統(tǒng)運(yùn)行環(huán)境掃描來檢測(cè)未知木 馬并評(píng)估其危險(xiǎn)等級(jí)��; 分別連接所述靜態(tài)檢測(cè)模塊和動(dòng)態(tài)檢測(cè)模塊的跟蹤分析模塊��,用于監(jiān)視所述已知 木馬和未知木馬的可疑進(jìn)程對(duì)文件的操作��; 連接所述跟蹤分析模塊的報(bào)表生成模塊�����,用于生成靜態(tài)檢測(cè)�、動(dòng)態(tài)檢測(cè)報(bào)表及所 述可疑進(jìn)程的行為分析報(bào)表。 其中����,所述靜態(tài)檢測(cè)模塊連接終端CPU���,對(duì)連接所述CPU的終端存儲(chǔ)器中存儲(chǔ)的所 有文件進(jìn)行掃描。 其中��,所述動(dòng)態(tài)檢測(cè)模塊連接所述終端CPU�����,對(duì)所述終端運(yùn)行的操作系統(tǒng)運(yùn)行環(huán)境進(jìn)行掃描���。 其中�,所述報(bào)表生成模塊的輸出連接所述終端CPU��,并通過所述終端CPU向終端輸 出裝置輸出所述報(bào)表��。 其中����,所述終端是計(jì)算機(jī)或服務(wù)器或具有計(jì)算功能的電子設(shè)備。 其中���,所述終端存儲(chǔ)器是硬盤或連接終端的移動(dòng)存儲(chǔ)介質(zhì)���。 其中����,所述終端輸出裝置是終端顯示器�����。 本實(shí)用新型的技術(shù)效果是不僅可以檢測(cè)常規(guī)的已知木馬還可以檢測(cè)未知的疑似 木馬����,使用戶可以根據(jù)所檢測(cè)的已知和未知木馬的危險(xiǎn)等級(jí)�,進(jìn)行相應(yīng)處理如刪除處理,確 保終端的安全運(yùn)行����。
以下結(jié)合附圖對(duì)本實(shí)用新型進(jìn)行詳細(xì)說明。
圖1是本實(shí)用新型的終端木馬監(jiān)測(cè)裝置的原理圖�; 圖2是本實(shí)用新型的終端木馬監(jiān)測(cè)裝置的實(shí)施例示意圖。
具體實(shí)施方式圖l顯示了本實(shí)用新型的終端木馬監(jiān)測(cè)裝置的基本結(jié)構(gòu)����,如圖l所示,本實(shí)用新型 的終端木馬監(jiān)測(cè)裝置包括 連接終端2的靜態(tài)檢測(cè)模塊IO,用于通過對(duì)終端文件掃描來檢測(cè)含有已知木馬的 文件���;連接終端2的動(dòng)態(tài)檢測(cè)模塊ll����,用于通過對(duì)終端操作系統(tǒng)運(yùn)行環(huán)境進(jìn)行掃描來檢測(cè) 未知木馬并評(píng)估其危險(xiǎn)等級(jí)���;分別連接所述靜態(tài)檢測(cè)模塊IO和動(dòng)態(tài)檢測(cè)模塊11的跟蹤分 析模塊12����,用于監(jiān)視所述已知木馬和未知木馬的可疑進(jìn)程對(duì)文件的操作��;連接所述跟蹤分 析模塊12的報(bào)表生成模塊13����,用于生成靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)報(bào)表及所述可疑進(jìn)程的行為分 析報(bào)表��。 本實(shí)用新型所述的木馬是木馬病毒或木馬程序�,因此檢測(cè)木馬就是檢測(cè)進(jìn)入終端 的木馬病毒或木馬程序。 本實(shí)用新型的特點(diǎn)在于利用靜態(tài)檢測(cè)模塊10對(duì)已知木馬進(jìn)行檢測(cè)����,即靜態(tài)檢測(cè) 模塊10通過特征字匹配的方式對(duì)多種已知木馬進(jìn)行檢測(cè);利用動(dòng)態(tài)檢測(cè)模塊11對(duì)未知木 馬進(jìn)行檢測(cè),即動(dòng)態(tài)檢測(cè)模塊11對(duì)運(yùn)行環(huán)境中的木馬行為進(jìn)行檢測(cè)�����,從而發(fā)現(xiàn)未知的疑似 木馬��。 本實(shí)用新型的終端可以是計(jì)算機(jī)或服務(wù)器或具有計(jì)算功能的電子設(shè)備��。 圖2顯示了本實(shí)用新型的一個(gè)實(shí)施例����,為了便于說明檢測(cè)終端中木馬的問題���,該
實(shí)施例僅顯示了終端中與本實(shí)用新型有關(guān)的CPU 21��、輸出裝置22和存儲(chǔ)器23���。其中存儲(chǔ)
器23是硬盤或連接終端的移動(dòng)存儲(chǔ)介質(zhì);輸出裝置22是終端顯示器����。 如圖2所示,靜態(tài)檢測(cè)模塊10連接終端CPU 21 ����,以便對(duì)連接CPU 21的終端存儲(chǔ)器
23中存儲(chǔ)的所有文件進(jìn)行掃描�����。 動(dòng)態(tài)檢測(cè)模塊11也連接終端CPU 21�����,以便對(duì)所述終端運(yùn)行的操作系統(tǒng)運(yùn)行環(huán)境 進(jìn)行掃描�。 報(bào)表生成模塊13的輸出連接所述終端CPU 21��,并通過所述終端CPU 21向終端輸出裝置22輸出關(guān)于木馬危險(xiǎn)等級(jí)的報(bào)表�����。 靜態(tài)檢測(cè)模塊10����、動(dòng)態(tài)檢測(cè)模塊11、跟蹤分析模塊12以及報(bào)表生成模塊13可以 硬件�����、固件或者軟件之一�����。當(dāng)終端開機(jī)后,CPU 2調(diào)用靜態(tài)檢測(cè)模塊10和動(dòng)態(tài)檢測(cè)模塊11 檢測(cè)終端中可能存在的已知木馬和未知木馬�,然后由跟蹤分析模塊12對(duì)已檢測(cè)的已知木 馬和未知木馬進(jìn)行跟蹤分析,估算危險(xiǎn)等級(jí)��,最后由報(bào)表生成模塊13生成有關(guān)已知木馬和 未知木馬的危險(xiǎn)等級(jí)����。 下面對(duì)本實(shí)用新型的動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)、跟蹤分析進(jìn)行詳細(xì)說明�����。-動(dòng)態(tài)檢測(cè)根據(jù)木馬的啟動(dòng)特征��、運(yùn)行特征及產(chǎn)生的結(jié)果等方面入手����,全面掃描
操作系統(tǒng)運(yùn)行環(huán)境���,由于木馬的啟動(dòng)方式不同����,針對(duì)注冊(cè)表自啟動(dòng)項(xiàng)、BHO插件�����、ini配置
文件��、文件關(guān)聯(lián)����、啟動(dòng)文件夾等進(jìn)行掃描并記錄其結(jié)果信息;針對(duì)木馬通訊方式不同����,掃描
程序打開端口、反彈端口�����、復(fù)用端口的信息�;針對(duì)木馬源文件掃描其是否設(shè)置隱藏屬性,以
及為防止被殺毒軟件查殺是否對(duì)源文件進(jìn)行了加殼處理���;針對(duì)木馬程序運(yùn)行后是否留有后
門�����,檢查系統(tǒng)賬號(hào)信息�����。 以進(jìn)程為主線�,綜合分析動(dòng)態(tài)檢查的結(jié)果,抽取各個(gè)進(jìn)程所對(duì)應(yīng)的特征信息���,根 據(jù)經(jīng)驗(yàn)設(shè)置針對(duì)各個(gè)檢測(cè)點(diǎn)的匹配規(guī)則及評(píng)分值���,綜合常規(guī)木馬特征劃分多條評(píng)比基線, 對(duì)未知木馬進(jìn)行安全等級(jí)劃分���,滿足檢測(cè)特征的項(xiàng)數(shù)越多���,危險(xiǎn)程度越高,反之危險(xiǎn)程度越 低�。比如一個(gè)名為process, exe的程序��,滿足動(dòng)態(tài)檢查點(diǎn)的2項(xiàng)特征����,危險(xiǎn)程度則較低���,滿 足4項(xiàng)特征,則危險(xiǎn)程度中等����,滿足6項(xiàng)以上,則危險(xiǎn)程度高�。-靜態(tài)檢測(cè)檢測(cè)擴(kuò)展名為.exe、. dll�、. sys、. tmp�����、. mof的文件��;使用比較成熟的 特征碼匹配規(guī)則(即在木馬樣本中分析并截取出一段或多段二進(jìn)制串作為木馬特征����,唯一 標(biāo)識(shí)此種木馬),準(zhǔn)確檢查含有木馬的文件���。具體過程是首先用文件遍歷引擎搜索指定目 錄中存在的文件����,然后用文件掃描引擎掃描文件,與木馬庫中的特征碼進(jìn)行特征匹配�����,如果 相吻合就說明被檢查的文件被木馬感染或者文件本身就是木馬程序�。例如文件aa. exe中 包含二進(jìn)制串"0XBF10296C3D4E6A789F",當(dāng)靜態(tài)檢測(cè)掃描到此文件時(shí)�����,與特征庫進(jìn)行匹配 (庫中包含"0XBF10296C3D4E6A789F")��,則文件能完全匹配上木馬特征,即確定此程序?yàn)槟?馬程序。 木馬檢測(cè)結(jié)果包含對(duì)木馬多個(gè)特征點(diǎn)的檢測(cè)��,主要有注冊(cè)表自啟動(dòng)檢測(cè)結(jié)果、 BHO插件檢測(cè)結(jié)果�、ini配置文件檢測(cè)結(jié)果、啟動(dòng)文件夾檢測(cè)結(jié)果�、未知服務(wù)檢測(cè)結(jié)果、文件 關(guān)聯(lián)檢測(cè)結(jié)果�����、通訊方式檢測(cè)結(jié)果(打開端口�、反彈端口、端口復(fù)用)�、加殼文件隱藏文件檢 測(cè)結(jié)果、系統(tǒng)賬號(hào)檢測(cè)結(jié)果�。-跟蹤分析以進(jìn)程名為主線,從檢查結(jié)果中抽取各項(xiàng)相關(guān)信息�,組合起來,就可 以看出一個(gè)程序具備哪些功能�����。比如一個(gè)進(jìn)程的名字為"horse.exe"���,如果它有上述檢查 項(xiàng)中的行為就會(huì)被檢查出來�����,如設(shè)置了注冊(cè)表自啟動(dòng)�、更改了文件關(guān)聯(lián)�����、打開端口等等����。從 而可以分析出木馬程序具備哪些功能���。 本實(shí)用新型不僅可以檢測(cè)常規(guī)的已知木馬還可以檢測(cè)未知的疑似木馬,因而用戶 可以根據(jù)所檢測(cè)的已知和未知木馬的危險(xiǎn)等級(jí)�,進(jìn)行相應(yīng)處理如刪除處理,從而確保終端 的安全運(yùn)行���。 盡管上文對(duì)本實(shí)用新型進(jìn)行了詳細(xì)說明�����,但是本實(shí)用新型不限于此��,本技術(shù)領(lǐng)域 技術(shù)人員可以根據(jù)本實(shí)用新型的原理進(jìn)行各種修改�����。因此�,凡按照本實(shí)用新型原理所作的修改�,都應(yīng)當(dāng)理解為落入本實(shí)用新型的保護(hù)范圍。
權(quán)利要求一種終端木馬監(jiān)測(cè)裝置����,其特征在于包括連接終端(2)靜態(tài)檢測(cè)模塊(10)�����,用于通過對(duì)終端文件掃描來檢測(cè)含有已知木馬的文件;連接終端(2)以的動(dòng)態(tài)檢測(cè)模塊(11)�����,用于通過對(duì)終端操作系統(tǒng)運(yùn)行環(huán)境進(jìn)行掃描來檢測(cè)未知木馬并評(píng)估其危險(xiǎn)等級(jí)�;分別連接所述靜態(tài)檢測(cè)模塊(10)和動(dòng)態(tài)檢測(cè)模塊(11)的跟蹤分析模塊(12),用于監(jiān)視所述已知木馬和未知木馬的可疑進(jìn)程對(duì)文件的操作�����;連接所述跟蹤分析模塊(12)的報(bào)表生成模塊(13)��,用于生成靜態(tài)檢測(cè)��、動(dòng)態(tài)檢測(cè)報(bào)表及所述可疑進(jìn)程的行為分析報(bào)表�。
2. 根據(jù)權(quán)利要求l所述的終端木馬監(jiān)測(cè)裝置,其特征在于�,所述靜態(tài)檢測(cè)模塊(10)連 接終端CPU(21),對(duì)連接所述CPU(21)的終端存儲(chǔ)器(23)中存儲(chǔ)的所有文件進(jìn)行掃描���。
3. 根據(jù)權(quán)利要求1或2所述的終端木馬監(jiān)測(cè)裝置���,其特征在于��,所述動(dòng)態(tài)檢測(cè)模塊 (11)連接所述終端CPU(21)��,對(duì)所述終端運(yùn)行的操作系統(tǒng)運(yùn)行環(huán)境進(jìn)行掃描����。
4. 根據(jù)權(quán)利要求3所述的終端木馬監(jiān)測(cè)裝置����,其特征在于,所述報(bào)表生成模塊(13)的 輸出連接所述終端CPU(21)�����,并通過所述終端CPU(21)向終端輸出裝置(22)輸出所述報(bào)表���。
5. 根據(jù)權(quán)利要求4所述的終端木馬監(jiān)測(cè)裝置����,其特征在于���,所述終端是計(jì)算機(jī)或服務(wù)器�。
6. 根據(jù)權(quán)利要求4所述的終端木馬監(jiān)測(cè)裝置,其特征在于����,所述終端存儲(chǔ)器(23)是硬 盤或連接終端的移動(dòng)存儲(chǔ)介質(zhì)。
7. 根據(jù)權(quán)利要求4所述的終端木馬監(jiān)測(cè)裝置���,其特征在于,所述終端輸出裝置(22)是 終端顯示器���。
專利摘要本實(shí)用新型是一種終端木馬監(jiān)測(cè)裝置�,包括通過對(duì)終端文件進(jìn)行掃描來檢測(cè)含有已知木馬的文件的靜態(tài)檢測(cè)模塊����;通過對(duì)終端操作系統(tǒng)運(yùn)行環(huán)境進(jìn)行掃描來檢測(cè)未知木馬的動(dòng)態(tài)檢測(cè)模塊;分別連接所述靜態(tài)檢測(cè)模塊和動(dòng)態(tài)檢測(cè)模塊的跟蹤分析模塊��,用于跟蹤所述已知木馬和未知木馬并評(píng)估其危險(xiǎn)等級(jí)����;連接所述跟蹤分析模塊的報(bào)表生成模塊,用于生成與所評(píng)估的危險(xiǎn)等級(jí)相對(duì)應(yīng)的報(bào)表�����。本實(shí)用新型不僅可以檢測(cè)常規(guī)的已知木馬還可以檢測(cè)未知的疑似木馬,從而可以確保終端的安全運(yùn)行��。
文檔編號(hào)G06F21/00GK201477598SQ20092022231
公開日2010年5月19日 申請(qǐng)日期2009年9月1日 優(yōu)先權(quán)日2009年9月1日
發(fā)明者于晴, 王海洋 申請(qǐng)人:北京鼎普科技股份有限公司