一种木马清除方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种木马清除方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.在网络安全发展的过程中，会出现各式各样的木马，木马会对网络安全造成巨大的威胁，因此，木马的清除对于安全研究人员来说也是一直以来的研究课题。由于木马种类繁多，有些木马专门用于潜伏和信息收集，模块少，容易清除。但对于一些自动化传播的木马，模块众多，使用特征码很难进行有效查杀。
3.现有技术主要是依赖传统流量特征的检测识别木马，从而获取木马相应的自删除指令，对木马进行删除，但是，很多木马不存在自删除指令，或者木马的自删除指令很难被获取到，导致木马无法被有效清除，导致系统瘫痪。


技术实现要素：

4.本技术实施例的目的在于提供一种木马清除方法、装置、电子设备及计算机可读存储介质，解决了大规模木马感染之后无法清除的问题，保证了网络安全。
5.第一方面，本技术实施例提供了一种木马清除方法，所述方法包括：获取木马样本中具有自动下载功能的木马，得到下载类木马；根据所述下载类木马获得专杀工具；获取所述下载类木马的域名信息以及域名信息类型；开放所述反制系统的连接端口，以使所述反制系统接收所述域名信息对应的流量；根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统；通过所述专杀工具对所述下载类木马进行清除。
6.在上述实现过程中，利用木马自身的逻辑，使木马连接到反制系统自动下载专杀工具，达到木马自动清除的效果，解决了大规模木马感染无法清除的问题，保证了网络安全。
7.进一步地，所述根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统的步骤，包括：若所述域名信息类型包括域名系统（domain name system，dns）地址，对所述下载类木马进行欺骗操作，将所述dns对应的流量牵引至反制系统；或者，若所述域名信息类型包括网际互连协议（internet protocol，ip）地址，对所述下载类木马进行劫持操作，将所述ip地址对应的流量牵引至所述反制系统；或者，若所述域名信息类型包括dns和ip地址，根据所述dns对所述下载类木马进行欺骗操作，根据所述ip地址对所述下载类木马进行劫持操作。
8.在上述实现过程中，可以根据域名信息类型的不同对下载类木马作欺骗操作、劫
持操作等相应操作；或者，先根据dns对下载类木马进行欺骗操作，再根据ip地址对下载类木马进行劫持操作，保证下载类木马在清除过程中不会出现意外。
9.进一步地，所述对所述下载类木马进行欺骗操作，将所述dns对应的流量牵引至反制系统的步骤，包括：获取伪dns服务器的ip地址；在网关上添加静态路由，以使所述dns对应的流量通过所述伪dns服务器的ip地址牵引至所述反制系统。
10.在上述实现过程中，通过伪dns服务器将dns牵引至反制系统，在不触发下载类木马的前提下将下载类木马引流，保证网络系统的安全性，同时可以使得下载类木马得到有效清除。
11.进一步地，若所述网关存在dns服务器，在所述获取伪dns服务器的ip地址的步骤之后，还包括：将所述dns对应的流量牵引至所述反制系统。
12.在上述实现过程中，若网关存在dns服务器，则不需要获取伪dns服务器的ip地址，可以直接将dns对应的流量牵引至所述反制系统，节省了时间和内存。
13.进一步地，所述对所述下载类木马进行劫持操作，将所述ip地址对应的流量牵引至所述反制系统的步骤，包括：在网关上添加静态路由，将所述ip地址对应的流量牵引至所述反制系统。
14.在上述实现过程中，域名信息为ip地址时，可以直接将ip地址对应的流量牵引至所述反制系统，提高了引流效率和效果，同时不会触发下载类木马的下载功能。
15.进一步地，所述开放所述反制系统的连接端口，以使所述反制系统接收所述域名信息对应的流量的步骤，包括：提取所述dns对应的流量或者所述ip地址对应的流量中的端口号；开放所述端口号对应的连接端口，以使所述反制系统接收所述dns对应的流量或者所述ip地址对应的流量。
16.在上述实现过程中，提取dns对应的端口号或者ip地址对应的端口号，并根据端口号进行端口连接，可以节省多个端口同时开放造成的浪费，同时使得下载类木马可以得到有效地清除。
17.进一步地，所述根据所述下载类木马获得专杀工具的步骤，包括：获取所述下载类木马对应的木马类型；根据所述木马类型获取所述下载类木马的木马结构信息；根据所述木马结构信息制作所述专杀工具。
18.在上述实现过程中，根据相应的木马结构信息制作相应的专杀工具，保证下载类木马可以被有效清除，不会发生下载类木马的遗漏情况，且清除效率更高。
19.第二方面，本技术实施例还提供了一种木马清除装置，所述装置包括：获取模块，用于获取木马样本中具有自动下载功能的木马，得到下载类木马；还用于获取所述下载类木马的域名信息以及域名信息类型；制作模块，用于根据所述下载类木马获得专杀工具；连接模块，用于开放所述反制系统的连接端口，以使所述反制系统接收所述域名
信息对应的流量；引流模块，用于根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统；清除模块，用于通过所述专杀工具对所述下载类木马进行清除。
20.在上述实现过程中，在上述实现过程中，利用木马自身的逻辑，通过dns或者ip劫持，使木马连接到反制系统自动下载专杀工具，达到木马自动清除的效果，解决了大规模木马感染无法清除的问题，保证了网络安全。
21.第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
22.第四方面，本技术实施例提供的一种计算机可读存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。
23.第五方面，本技术实施例提供的一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面任一项所述的方法。
24.本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。
25.并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的木马清除方法的流程示意图；图2为本技术实施例提供的木马清除装置的结构组成示意图；图3为本技术实施例提供的电子设备的结构组成示意图。
具体实施方式
28.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
29.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
30.下面结合附图和实施例，对本技术的具体实施方式作进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围。
31.实施例一图1是本技术实施例提供的木马清除方法的流程示意图，如图1所示，该方法包括：s1，获取木马样本中具有自动下载功能的木马，得到下载类木马；
s2，根据下载类木马获得专杀工具；s3，获取下载类木马的域名信息以及域名信息类型；s4，开放反制系统的连接端口，以使反制系统接收域名信息对应的流量；s5，根据域名信息类型将域名信息对应的流量牵引至反制系统；s6，通过专杀工具对下载类木马进行清除。
32.以本实施例为例，利用木马自身的逻辑，通过dns或者ip劫持，使木马连接到反制系统自动下载专杀工具，达到木马自动清除的效果，解决了大规模木马感染无法清除的问题，保证了网络安全。
33.很多木马具有自删除的指令，可以进行自动销毁，而本实施例中的具有自动下载功能的木马存在自动下载执行或自动更新的功能，且不具有自删除的指令，即没有办法通过调用自删除的指令实现自动销毁，在这种情况下，需要对下载类木马进行清除。
34.反制系统包括硬件设备和软件环境，在软件环境方面可以通过软件模拟多种已知的具有自动下载功能的木马主控端部分通信协议，并且预先设置了多种登录上线的验证方法。
35.进一步地，s2包括：获取下载类木马对应的木马类型；根据木马类型获取下载类木马的木马结构信息；根据木马结构信息制作专杀工具。
36.根据不同的木马结构信息，如模块数量、模块名称、特征码等制作对应的专杀工具，专杀工具的名称根据不同木马类型的下载执行特点而定，比如，mykings挖矿家族木马的持久化模块会去公网下载123.bat文件并执行，该文件为木马的辅助模块，用于关闭防火墙或开启端口所用，则专杀工具名称为123.bat。
37.以本实施例为例，根据相应的木马结构信息制作相应的专杀工具，保证下载类木马可以被有效清除，不会发生下载类木马的遗漏情况，且清除效率更高。
38.进一步地，s4还包括：提取dns对应的流量或者ip地址对应的流量中的端口号；开放端口号对应的连接端口，以使反制系统接收dns对应的流量或者ip地址对应的流量。
39.以本实施例为例，提取dns对应的端口号或者ip地址对应的端口号，并根据端口号进行端口连接，可以节省多个端口同时开放造成的浪费，同时使得下载类木马可以得到有效地清除。
40.进一步地，s5包括：若域名信息类型包括dns，对下载类木马进行欺骗操作，将dns对应的流量牵引至反制系统；或者，若域名信息类型包括ip地址，对下载类木马进行劫持操作，将ip地址对应的流量牵引至反制系统；或者，若域名信息类型包括dns和ip地址，根据dns对下载类木马进行欺骗操作，根据ip地址对下载类木马进行劫持操作。
41.以本实施例为例，可以根据域名信息类型的不同对下载类木马作欺骗操作、劫持
操作等相应操作；或者，先根据dns对下载类木马进行欺骗操作，再根据ip地址对下载类木马进行劫持操作，保证下载类木马在清除过程中不会出现意外。
42.进一步地，若域名信息类型包括dns，对下载类木马进行欺骗操作，将dns对应的流量牵引至反制系统的步骤，包括：获取伪dns服务器的ip地址；在网关上添加静态路由，以使dns对应的流量通过伪dns服务器的ip地址牵引至反制系统。
43.静态路由的网络安全保密性高，出于安全方面的考虑，采用静态路由，不占用网络带宽，不会产生额外的流量。
44.以本实施例为例，通过伪dns服务器将dns牵引至反制系统，在不触发下载类木马的前提下将下载类木马引流，保证网络系统的安全性，同时可以使得下载类木马得到有效清除。
45.进一步地，若网关存在dns服务器，在获取伪dns服务器的ip地址的步骤之后，还包括：将dns对应的流量牵引至反制系统。
46.以本实施例为例，若网关存在dns服务器，则不需要获取伪dns服务器的ip地址，可以直接将dns对应的流量牵引至所述反制系统，节省了引流时间和引流内存。
47.进一步地，若域名信息类型包括ip地址，对下载类木马进行劫持操作，将ip地址对应的流量牵引至反制系统的步骤，包括：在网关上添加静态路由，将ip地址对应的流量牵引至反制系统。
48.以本实施例为例，域名信息为ip地址时，可以直接将ip地址对应的流量牵引至所述反制系统，提高了引流效率和效果，同时不会触发下载类木马的下载功能。
49.dns服务器为因特网上作为域名和ip地址相互映射的一个分布式数据库，能够使用户更方便地访问互联网，而不用去记住能够被机器直接读取的ip数串。通过主机名，最终得到该主机名对应的ip地址的过程叫做域名解析或主机名解析。
50.当反制系统接收通过流量牵引而来的dns对应的流量和ip地址对应的流量后，可以模拟具有自动下载功能的木马主控端，对网络参数实时修改，主动建立与反制系统的连接。在模拟主控端与反制系统建立连接的过程实质是发起攻击的过程，在模拟主控端与反制系统建立连接后，反制系统可以将下载类木马和专杀工具建立连接，使得专杀工具清除下载类木马。
51.实施例二为了执行上述实施例一对应的方法，以实现相应的功能和技术效果，下面提供一种木马清除装置，如图2所示，该装置包括：获取模块1，用于获取木马样本中具有自动下载功能的木马，得到下载类木马；还用于获取下载类木马的域名信息以及域名信息类型；制作模块2，用于根据下载类木马获得专杀工具；连接模块3，用于开放反制系统的连接端口，以使反制系统接收域名信息对应的流量；引流模块4，用于根据域名信息类型将域名信息对应的流量牵引至反制系统；
清除模块5，用于通过专杀工具对下载类木马进行清除。
52.在上述实现过程中，在上述实现过程中，利用木马自身的逻辑，通过dns或者ip劫持，使木马连接到反制系统自动下载专杀工具，达到木马自动清除的效果，解决了大规模木马感染无法清除的问题，保证了网络安全。
53.进一步地，制作模块2还用于：获取下载类木马对应的木马类型；根据木马类型获取下载类木马的木马结构信息；根据木马结构信息制作专杀工具。
54.进一步地，连接模块3还用于：提取dns对应的流量或者ip地址对应的流量中的端口号；开放端口号对应的连接端口，以使反制系统接收dns对应的流量或者ip地址对应的流量。
55.进一步地，引流模块4还用于：若域名信息类型包括dns，对下载类木马进行欺骗操作，将dns对应的流量牵引至反制系统；或者，若域名信息类型包括ip地址，对下载类木马进行劫持操作，将ip地址对应的流量牵引至反制系统；或者，若域名信息类型包括dns和ip地址，根据dns对下载类木马进行欺骗操作，根据ip地址对下载类木马进行劫持操作。
56.进一步地，引流模块4还用于：获取伪dns服务器的ip地址；在网关上添加静态路由，以使dns对应的流量通过伪dns服务器的ip地址牵引至反制系统。
57.进一步地，引流模块4还用于：将dns对应的流量牵引至反制系统。
58.进一步地，引流模块4还用于：在网关上添加静态路由，将ip地址对应的流量牵引至反制系统。
59.上述的木马清除装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例，这里不再详述。
60.本技术实施例的其余内容可参照上述实施例一的内容，在本实施例中，不再进行赘述。
61.实施例三本技术实施例提供一种电子设备，包括存储器及处理器，该存储器用于存储计算机程序，该处理器运行计算机程序以使电子设备执行实施例一的木马清除方法。
62.可选地，上述电子设备可以是服务器。
63.请参见图3，图3为本技术实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中，通信总线34用于实现这些组件直接的连接通信。其中，本技术实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片，具有信号的处理能力。
64.上述的处理器31可以是通用处理器，包括中央处理器（central processing unit，cpu）、网络处理器（network processor，np）等；还可以是数字信号处理器（dsp）、专用集成电路（asic）、现成可编程门阵列（fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
65.存储器33可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。存储器33中存储有计算机可读取指令，当计算机可读取指令由所述处理器31执行时，设备可以执行上述图1方法实施例涉及的各个步骤。
66.可选地，电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。
67.输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。
68.可以理解，图3所示的结构仅为示意，电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
69.另外，本技术实施例还提供一种计算机可读存储介质，其存储有计算机程序，该计算机程序被处理器执行时实现实施例一的木马清除方法。
70.本技术实施例还提供一种计算机程序产品，该计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。
71.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
72.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
73.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计
算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
74.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
75.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
76.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。