[发明专利]一种基于Windows内核驱动的木马监测方法有效
| 申请号: | 201310566399.5 | 申请日: | 2013-11-15 |
| 公开(公告)号: | CN103685233A | 公开(公告)日: | 2014-03-26 |
| 发明(设计)人: | 崔振利 | 申请(专利权)人: | 中国人民解放军91635部队 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/56 |
| 代理公司: | 中国人民解放军海军专利服务中心 11044 | 代理人: | 宋涛 |
| 地址: | 102249*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 为防止木马程序对联网计算机的侵害,本发明提供一种木马监测方法,一旦操作系统执行命令,该方法对执行命令进行分析,首先判断是否为“CMD.EXE”或“RAR.EXE”,如果是,则分析调用“CMD.EXE”或“RAR.EXE”进程的网络连接,如存在网络连接,则记录网络连接端口和IP地址,将该进程理解为木马进程加以重点监测,之后记录其执行的所有命令和文件操作,并对其子进程也进行重点监测,并将监测记录发送到指定服务器,为发现计算机木马提供了一种技术手段,能够记录木马执行命令和文件操作,记录木马控制方IP地址和端口,记录所有操作的时间,同时将监测记录通过网络发送到服务器,由专业人员对记录进行分析,不影响用户正常使用,正常使用计算机无记录。 | ||
| 搜索关键词: | 一种 基于 windows 内核 驱动 木马 监测 方法 | ||
【主权项】:
一种基于Windows内核驱动的木马监测方法,其特征在于包括以下步骤:步骤一:获取进程名称,该进程名如果为“cmd.exe”或“rar.exe”,转到步骤二,该进程名如果不为“cmd.exe”且不为“rar.exe”,转到步骤七;步骤二:如果该进程为新进程,转到步骤三,如果该进程不是新进程,转到步骤7;步骤三:获取该进程的父进程ID号,并标记为可疑进程;步骤四:该父进程有网络连接,转到步骤五,该父进程无网络连接,转到步骤六;步骤五:记录该父进程名称、IP地址、端口,并加密发送到服务端可疑进程列表存储,报警并继续监控;步骤六:记录该父进程名称并加密发送到服务端可疑进程列表存储,继续监控;步骤七:如果服务端可疑进程列表中不存在该进程,继续监控,如果服务端可疑进程列表中存在该进程,转到步骤八;步骤八:监控该进程的父进程,如果该父进程为“cmd.exe”或存在于服务端可疑进程列表中,转到步骤九,如果该父进程不为“cmd.exe”且不存在于服务端可疑进程列表中,继续监控;步骤九:该进程为可疑进程,获取其运行参数,报警并加密发送到服务端可疑进程列表存储,继续监控。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军91635部队,未经中国人民解放军91635部队许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310566399.5/,转载请声明来源钻瓜专利网。
