一种基于Windows内核驱动的木马监测方法
【专利摘要】为防止木马程序对联网计算机的侵害,本发明提供一种木马监测方法,一旦操作系统执行命令,该方法对执行命令进行分析,首先判断是否为“CMD.EXE”或“RAR.EXE”,如果是,则分析调用“CMD.EXE”或“RAR.EXE”进程的网络连接,如存在网络连接,则记录网络连接端口和IP地址,将该进程理解为木马进程加以重点监测,之后记录其执行的所有命令和文件操作,并对其子进程也进行重点监测,并将监测记录发送到指定服务器,为发现计算机木马提供了一种技术手段,能够记录木马执行命令和文件操作,记录木马控制方IP地址和端口,记录所有操作的时间,同时将监测记录通过网络发送到服务器,由专业人员对记录进行分析,不影响用户正常使用,正常使用计算机无记录。
【专利说明】—种基于Windows内核驱动的木马监测方法
所属【技术领域】
[0001]本发明属于网络安全【技术领域】,能够监测联网计算机木马操作。
【背景技术】
[0002]计算机木马危害性很大,虽然杀毒软件、防火墙等技术手段可以拦截木马,但还是有大量计算机被木马控制,给国家、单位、个人带来损失。特别是针对特定杀毒软件研制的专用木马,能在只安装该杀毒软件的计算机内运行而不被发现。网络入侵检测系统是通过分析网络数据来发现异常并阻断网络入侵的技术手段,但一般只有大型网络系统才配备网络入侵检测系统,且由于网络数据巨大,难以分析发现所有的网络入侵。
【发明内容】
[0003]本发明能够对木马进行监测,记录木马控制方IP地址及网络连接端口,记录木马运行命令,文件操作,并将监测记录发送到指定服务器,专业人员根据监测记录可以判断木马性质与危害,并采取相应防护措施。
[0004]本发明提供一种基于Windows内核驱动的木马监测方法,其特征在于包括以下步骤:
[0005]步骤一:获取进程名称,该进程名如果为“cmd.exe”或“rar.exe”,转到步骤二,该进程名如果不为“cmd.exe”且不为“rar.exe”,转到步骤七;
[0006]步骤二:如果该进程为新进程,转到步骤三,如果该进程不是新进程,转到步骤7 ;
[0007]步骤三:获取该进程的父进程ID号,并标记为可疑进程;
[0008]步骤四:该父进程有网络连接,转到步骤五,该父进程无网络连接,转到步骤六;
[0009]步骤五:记录该父进程名称、IP地址、端口,并加密发送到服务端可疑进程列表存储,报警并继续监控;
[0010]步骤六:记录该父进程名称并加密发送到服务端可疑进程列表存储,继续监控;
[0011]步骤七:如果服务端可疑进程列表中不存在该进程,继续监控,如果服务端可疑进程列表中存在该进程,转到步骤八;
[0012]步骤八:监控该进程的父进程,如果该父进程为“cmd.exe”或存在于服务端可疑进程列表中,转到步骤九,如果该父进程不为“cmd.exe”且不存在于服务端可疑进程列表中,继续监控;
[0013]步骤九:该进程为可疑进程,获取其运行参数,报警并加密发送到服务端可疑进程列表存储,继续监控。
[0014]本发明解决其技术问题所依据的原理是:计算机木马的主要作用是实现对计算机的远程控制,既能够在被控制计算机执行命令,木马的另一目的是获取计算机内重要文档数据。为增加木马隐蔽性,木马一般通过CMD.EXE在后台执行操作,为方便获取文档,通常使用RAR.EXE将多个文档压缩成一个文件,再通过网络传递出去。基于这一特性,在后台执行CMD.EXE和RAR.EXE的进程,很大程度上是木马进程,至少是具有木马特征的进程,如果这个进程和网络连接,则是木马的可能性更大。而普通人员使用计算机,一般不会执行CMD.ΕΧΕ 和 RAR.ΕΧΕ。
[0015]本发明解决其技术问题采用的技术方案是:在联网计算机安装监测驱动,对32位操作系统,Η00Κ系统内核函数NtCreateSection,对64位操作系统,注册系统回调函数。一旦操作系统执行命令,监测驱动对执行命令进行分析,首先判断是否为“CMD.ΕΧΕ”或“RAR.EXE",如果是,则分析调用“CMD.ΕΧΕ”或“RAR.ΕΧΕ”进程的网络连接,如存在网络连接,则记录网络连接端口和IP地址,将该进程理解为木马进程加以重点监测,之后记录其执行的所有命令和文件操作,并对其子进程也进行重点监测。EXPLORER.ΕΧΕ为桌面应用进程,也可能调用CMD.ΕΧΕ,为避免记录用户正常操作,只记录CMD.ΕΧΕ执行命令,不记录EXPLORER.ΕΧΕ执行的其它操作。
[0016]本发明的有益效果是,为发现计算机木马提供了一种技术手段,能够记录木马执行命令和文件操作,记录木马控制方IP地址和端口,记录所有操作的时间。将监测记录通过网络发送到服务器,由专业人员对记录进行分析,不影响用户正常使用,正常使用计算机无记录。
【专利附图】
【附图说明】
[0017]图1是本发明的监测流程图。
[0018]图2是本发明的监测记录样本。
[0019]图3是本发明的监测记录样本。
【具体实施方式】
[0020]下面结合附图和实施例对本发明进一步说明。
[0021]在图1中,首先获得当前执行进程的文件名,判断是否为“cmd.exe”或“rar.exe",如果是则分析该进程是否为新进程,如果不是新进程,则不再处理,直接返回。
[0022]如果是新进程,则将该进程名及ID号保存到可疑进程列表,再获得其父进程ID和进程名,然后查找当前网络连接进程中是否包含该父进程,如父进程具有网络连接,则记录网络连接的本地IP地址和端口、远程IP地址和端口,连同父进程名一起加密发送到服务器。如父进程不存在网络连接,则只将父进程名加密发送到服务器。如果父进程名不为"explorer, exe”,则将父进程名及ID号保存到可疑进程列表。如果当前进程名不为“cmd.exe”和“rar.exe”,则需判断当前进程是否由可疑进程调用。首先判断可疑进程列表是否为空,为空则不再处理,直接返回,否则获得当前进程的父进程ID和进程名,查看父进程是否在可疑进程列表,如不在,则返回,如果父进程为可疑进程,则获取当前进程的运行参数,连同当前进程名一起加密发送到服务器,并将该进程保存到可疑进程列表,同时,监测驱动注册为文件过滤驱动,只处理PostCreate消息。该消息在文件生成完成(PostCreate)后触发,可获得文件名信息。如果文件操作的当前进程为可疑进程,则记录该文件名并加密发送到服务器。
[0023]在图2中,列表第1项为机器编号,第2项为被监测机器的人员信息,第3项为记录时间,第4项为记录内容。在计算机监测驱动安装时,以硬盘序列号为依据产生安装编号,服务器端接收到记录后,根据对应编号保存到相应文件中。[0024]监测记录内容“远程:”表示该进程具有网络连接,其后为进程名,本地IP地址与端口,远程IP地址和端口。
[0025]其它监测记录为执行命令。
[0026]在图3中,从下向上,第I条记录为“进程:explorer.exe”,表示为当前桌面调用。
[0027]第2条记录为“net user”,是查看计算机用户信息。
[0028]第3条记录为“ipconfig/all”,是查看计算机网络配置情况。
[0029]第4 条记录为“远程:scvhost.exel92.168.1.25:4319192.168.1.22:1353”,表示 scvhost.exe 存在远程连接,192.168.1.25:4319 是本地 IP 地址和端 口,192.168.1.22:1353是远程IP地址和端口。
[0030]第5 条记录为 “C:\ffIND0WS\system32\conime.exe”,是输入法调用。
[0031]第6条记录为“netstat-an”,是查看计算机网络连接情况。
[0032]第7条记录为“File:C:\新建文件夹\流程图.doc”,是scvhost.exe操作该文件。
[0033]第8条记录为“hyclient”,是执行程序。
[0034]第10条记录为“tasklist”,是查看计算机进程执行情况。
[0035]第11 条记录为“远程:hyclient.exel92.168.1.25:1198114.XXX.83.12:8080”,新加载进程hyclient.exe网络连接情况。
[0036]第12条记录为“c:\SVCS.exe”,执行程序
[0037]第13条记录为“File:C:\msvsdk.dll”,是文件操作记录。
【权利要求】
1.一种基于Windows内核驱动的木马监测方法,其特征在于包括以下步骤:步骤一:获取进程名称,该进程名如果为“cmd.exe”或“rar.exe”,转到步骤二,该进程名如果不为“cmd.exe”且不为“rar.exe”,转到步骤七;步骤二:如果该进程为新进程,转到步骤三,如果该进程不是新进程,转到步骤7 ;步骤三:获取该进程的父进程ID号,并标记为可疑进程;步骤四:该父进程有网络连接,转到步骤五,该父进程无网络连接,转到步骤六;步骤五:记录该父进程名称、IP地址、端口,并加密发送到服务端可疑进程列表存储,报警并继续监控;步骤六:记录该父进程名称并加密发送到服务端可疑进程列表存储,继续监控;步骤七:如果服务端可疑进程列表中不存在该进程,继续监控,如果服务端可疑进程列表中存在该进程,转到步骤八;步骤八:监控该进程的父进程,如果该父进程为“cmd.exe"或存在于服务端可疑进程列表中,转到步骤九,如果该父进程不为“cmd.exe"且不存在于服务端可疑进程列表中,继续监控;步骤九:该进程为可疑进程,获取其运行参数,报警并加密发送到服务端可疑进程列表存储,继续监控。
【文档编号】G06F21/56GK103685233SQ201310566399
【公开日】2014年3月26日 申请日期:2013年11月15日 优先权日:2013年11月15日
【发明者】崔振利 申请人:中国人民解放军91635部队