专利名称:终端木马监测装置的制作方法
技术领域:
本实用新型涉及一种木马病毒的监测装置,特别涉及一种对注入计算机、服务器
或具有计算功能的电子设备进行木马监测的终端木马监测装置。
背景技术:
木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并 不"刻意"地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打 开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的 电脑。"木马"与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件 是"善意"的控制,因此通常不具有隐蔽性;"木马"则完全相反,木马要达到的是"偷窃"性 的远程控制,如果没有很强的隐蔽性的话,那就是"毫无价值"的。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个 可执行程序一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是 "服务器"部分,而所谓的"黑客"正是利用"控制器"进入运行了 "服务器"的电脑。运行了 木马程序的"服务器"以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用 这些打开的端口进入电脑系统。木马的服务一旦运行并被控制端连接,其控制端将享有服 务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表, 更改计算机配置等。 目前的木马查杀工具通常只能检测已知木马,但不能对疑似木马进行检测,因此 不能有效查杀计算机或服务器中的木马软件。
发明内容本实用新型的目的是提供一种能够有效检测已知木马和未知木马的终端木马监 测装置,以便用户根据检测报表删除已知木马和未知木马。
本实用新型的上述目的是这样实现的,一种终端木马监测装置,包括 连接终端的静态检测模块,用于通过对终端文件扫描来检测含有已知木马的文
件; 连接终端的动态检测模块,用于通过对终端操作系统运行环境扫描来检测未知木 马并评估其危险等级; 分别连接所述静态检测模块和动态检测模块的跟踪分析模块,用于监视所述已知 木马和未知木马的可疑进程对文件的操作; 连接所述跟踪分析模块的报表生成模块,用于生成静态检测、动态检测报表及所 述可疑进程的行为分析报表。 其中,所述静态检测模块连接终端CPU,对连接所述CPU的终端存储器中存储的所 有文件进行扫描。 其中,所述动态检测模块连接所述终端CPU,对所述终端运行的操作系统运行环境进行扫描。 其中,所述报表生成模块的输出连接所述终端CPU,并通过所述终端CPU向终端输 出装置输出所述报表。 其中,所述终端是计算机或服务器或具有计算功能的电子设备。 其中,所述终端存储器是硬盘或连接终端的移动存储介质。 其中,所述终端输出装置是终端显示器。 本实用新型的技术效果是不仅可以检测常规的已知木马还可以检测未知的疑似 木马,使用户可以根据所检测的已知和未知木马的危险等级,进行相应处理如删除处理,确 保终端的安全运行。
以下结合附图对本实用新型进行详细说明。
图1是本实用新型的终端木马监测装置的原理图; 图2是本实用新型的终端木马监测装置的实施例示意图。
具体实施方式图l显示了本实用新型的终端木马监测装置的基本结构,如图l所示,本实用新型 的终端木马监测装置包括 连接终端2的静态检测模块IO,用于通过对终端文件扫描来检测含有已知木马的 文件;连接终端2的动态检测模块ll,用于通过对终端操作系统运行环境进行扫描来检测 未知木马并评估其危险等级;分别连接所述静态检测模块IO和动态检测模块11的跟踪分 析模块12,用于监视所述已知木马和未知木马的可疑进程对文件的操作;连接所述跟踪分 析模块12的报表生成模块13,用于生成静态检测、动态检测报表及所述可疑进程的行为分 析报表。 本实用新型所述的木马是木马病毒或木马程序,因此检测木马就是检测进入终端 的木马病毒或木马程序。 本实用新型的特点在于利用静态检测模块10对已知木马进行检测,即静态检测 模块10通过特征字匹配的方式对多种已知木马进行检测;利用动态检测模块11对未知木 马进行检测,即动态检测模块11对运行环境中的木马行为进行检测,从而发现未知的疑似 木马。 本实用新型的终端可以是计算机或服务器或具有计算功能的电子设备。 图2显示了本实用新型的一个实施例,为了便于说明检测终端中木马的问题,该
实施例仅显示了终端中与本实用新型有关的CPU 21、输出装置22和存储器23。其中存储
器23是硬盘或连接终端的移动存储介质;输出装置22是终端显示器。 如图2所示,静态检测模块10连接终端CPU 21 ,以便对连接CPU 21的终端存储器
23中存储的所有文件进行扫描。 动态检测模块11也连接终端CPU 21,以便对所述终端运行的操作系统运行环境 进行扫描。 报表生成模块13的输出连接所述终端CPU 21,并通过所述终端CPU 21向终端输出装置22输出关于木马危险等级的报表。 静态检测模块10、动态检测模块11、跟踪分析模块12以及报表生成模块13可以 硬件、固件或者软件之一。当终端开机后,CPU 2调用静态检测模块10和动态检测模块11 检测终端中可能存在的已知木马和未知木马,然后由跟踪分析模块12对已检测的已知木 马和未知木马进行跟踪分析,估算危险等级,最后由报表生成模块13生成有关已知木马和 未知木马的危险等级。 下面对本实用新型的动态检测和静态检测、跟踪分析进行详细说明。-动态检测根据木马的启动特征、运行特征及产生的结果等方面入手,全面扫描
操作系统运行环境,由于木马的启动方式不同,针对注册表自启动项、BHO插件、ini配置
文件、文件关联、启动文件夹等进行扫描并记录其结果信息;针对木马通讯方式不同,扫描
程序打开端口、反弹端口、复用端口的信息;针对木马源文件扫描其是否设置隐藏属性,以
及为防止被杀毒软件查杀是否对源文件进行了加壳处理;针对木马程序运行后是否留有后
门,检查系统账号信息。 以进程为主线,综合分析动态检查的结果,抽取各个进程所对应的特征信息,根 据经验设置针对各个检测点的匹配规则及评分值,综合常规木马特征划分多条评比基线, 对未知木马进行安全等级划分,满足检测特征的项数越多,危险程度越高,反之危险程度越 低。比如一个名为process, exe的程序,满足动态检查点的2项特征,危险程度则较低,满 足4项特征,则危险程度中等,满足6项以上,则危险程度高。-静态检测检测扩展名为.exe、. dll、. sys、. tmp、. mof的文件;使用比较成熟的 特征码匹配规则(即在木马样本中分析并截取出一段或多段二进制串作为木马特征,唯一 标识此种木马),准确检查含有木马的文件。具体过程是首先用文件遍历引擎搜索指定目 录中存在的文件,然后用文件扫描引擎扫描文件,与木马库中的特征码进行特征匹配,如果 相吻合就说明被检查的文件被木马感染或者文件本身就是木马程序。例如文件aa. exe中 包含二进制串"0XBF10296C3D4E6A789F",当静态检测扫描到此文件时,与特征库进行匹配 (库中包含"0XBF10296C3D4E6A789F"),则文件能完全匹配上木马特征,即确定此程序为木 马程序。 木马检测结果包含对木马多个特征点的检测,主要有注册表自启动检测结果、 BHO插件检测结果、ini配置文件检测结果、启动文件夹检测结果、未知服务检测结果、文件 关联检测结果、通讯方式检测结果(打开端口、反弹端口、端口复用)、加壳文件隐藏文件检 测结果、系统账号检测结果。-跟踪分析以进程名为主线,从检查结果中抽取各项相关信息,组合起来,就可 以看出一个程序具备哪些功能。比如一个进程的名字为"horse.exe",如果它有上述检查 项中的行为就会被检查出来,如设置了注册表自启动、更改了文件关联、打开端口等等。从 而可以分析出木马程序具备哪些功能。 本实用新型不仅可以检测常规的已知木马还可以检测未知的疑似木马,因而用户 可以根据所检测的已知和未知木马的危险等级,进行相应处理如删除处理,从而确保终端 的安全运行。 尽管上文对本实用新型进行了详细说明,但是本实用新型不限于此,本技术领域 技术人员可以根据本实用新型的原理进行各种修改。因此,凡按照本实用新型原理所作的修改,都应当理解为落入本实用新型的保护范围。
权利要求一种终端木马监测装置,其特征在于包括连接终端(2)静态检测模块(10),用于通过对终端文件扫描来检测含有已知木马的文件;连接终端(2)以的动态检测模块(11),用于通过对终端操作系统运行环境进行扫描来检测未知木马并评估其危险等级;分别连接所述静态检测模块(10)和动态检测模块(11)的跟踪分析模块(12),用于监视所述已知木马和未知木马的可疑进程对文件的操作;连接所述跟踪分析模块(12)的报表生成模块(13),用于生成静态检测、动态检测报表及所述可疑进程的行为分析报表。
2. 根据权利要求l所述的终端木马监测装置,其特征在于,所述静态检测模块(10)连 接终端CPU(21),对连接所述CPU(21)的终端存储器(23)中存储的所有文件进行扫描。
3. 根据权利要求1或2所述的终端木马监测装置,其特征在于,所述动态检测模块 (11)连接所述终端CPU(21),对所述终端运行的操作系统运行环境进行扫描。
4. 根据权利要求3所述的终端木马监测装置,其特征在于,所述报表生成模块(13)的 输出连接所述终端CPU(21),并通过所述终端CPU(21)向终端输出装置(22)输出所述报表。
5. 根据权利要求4所述的终端木马监测装置,其特征在于,所述终端是计算机或服务器。
6. 根据权利要求4所述的终端木马监测装置,其特征在于,所述终端存储器(23)是硬 盘或连接终端的移动存储介质。
7. 根据权利要求4所述的终端木马监测装置,其特征在于,所述终端输出装置(22)是 终端显示器。
专利摘要本实用新型是一种终端木马监测装置,包括通过对终端文件进行扫描来检测含有已知木马的文件的静态检测模块;通过对终端操作系统运行环境进行扫描来检测未知木马的动态检测模块;分别连接所述静态检测模块和动态检测模块的跟踪分析模块,用于跟踪所述已知木马和未知木马并评估其危险等级;连接所述跟踪分析模块的报表生成模块,用于生成与所评估的危险等级相对应的报表。本实用新型不仅可以检测常规的已知木马还可以检测未知的疑似木马,从而可以确保终端的安全运行。
文档编号G06F21/00GK201477598SQ20092022231
公开日2010年5月19日 申请日期2009年9月1日 优先权日2009年9月1日
发明者于晴, 王海洋 申请人:北京鼎普科技股份有限公司