[发明专利]用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统

权利要求书

1.用于追溯木马源的计算机可读存储介质，其存储有计算机程序，该计算机程序被处理器执行时实现以下步骤：

服务端识别步骤，其获取被植入木马的服务端的本地木马数据，识别该木马数据中的客户端地址信息；

客户端判断步骤，其根据识别到的客户端地址信息读取该客户端数据，判断该客户端是否存在与获取的本地木马数据一致的数据，若判断结果为否，则执行木马源追查步骤；

木马源追查步骤，其查找该客户端从服务端获取的信息的存储地址，监测该存储地址的访问日志，若识别到有IP地址从该存储地址中读取与该客户端从服务端获取的信息格式一致的信息，且读取上述信息的次数和/或频率达到预设值B，则标记该IP地址为疑似木马源；

若客户端判断步骤的判断结果为否，则在执行木马源追查步骤之前先判断该客户端地址信息是否为邮箱地址，若判断结果为是，则跳过木马源追查步骤，直接读取该邮箱的登录地址信息来识别木马源。

2.根据权利要求1所述的用于追溯木马源的计算机可读存储介质，其特征在于，若客户端判断步骤的判断结果为是，则在执行木马源追查步骤之前先执行如下客户端追溯步骤：设定该客户端为中间服务端，在该中间服务端执行服务端识别步骤，获取与该中间服务端对应的客户端地址信息，然后根据本次获取的客户端地址信息执行客户端判断步骤，循环执行上述客户端追溯步骤直到客户端判断步骤的判断结果为否，则执行木马源追查步骤。

3.根据权利要求1所述的用于追溯木马源的计算机可读存储介质，其特征在于，所述存储地址为本地存储单元或者网络空间。

4.根据权利要求1所述的用于追溯木马源的计算机可读存储介质，其特征在于，本地木马数据存储在木马程序的配置文件中，在服务端识别步骤中，通过判断配置文件与木马程序是否相匹配来获取存储有本地木马数据的配置文件。

5.根据权利要求1所述的用于追溯木马源的计算机可读存储介质，其特征在于，在所述服务端识别步骤中，获取本地木马数据后，先执行本地文件定位步骤，该本地文件定位步骤包括如下步骤：

发包进程获取步骤，其获取向查找到的客户端地址发包的进程；

HOOK处理步骤，其对该进程中所有的网络发包API函数进行HOOK处理；

进程监控步骤，其获取该进程随后的发包地址，判断该进程是否又向上述客户端地址发包；

木马文件识别步骤，若识别到该进程之后又向上述客户端地址发包，则对经过HOOK处理的API函数进行堆栈分析，得到调用该经过HOOK处理的API函数的文件，该文件即木马文件。

6.木马源追溯系统，包括处理器，其特征在于，还包括如权利要求1~5中任一项所述计算机可读存储介质，该计算机可读存储介质上的计算机程序可被处理器执行。