| 发明名称 | 一种基于Windows内核驱动的木马监测方法 | ||
| 摘要 | 为防止木马程序对联网计算机的侵害,本发明提供一种木马监测方法,一旦操作系统执行命令,该方法对执行命令进行分析,首先判断是否为“CMD.EXE”或“RAR.EXE”,如果是,则分析调用“CMD.EXE”或“RAR.EXE”进程的网络连接,如存在网络连接,则记录网络连接端口和IP地址,将该进程理解为木马进程加以重点监测,之后记录其执行的所有命令和文件操作,并对其子进程也进行重点监测,并将监测记录发送到指定服务器,为发现计算机木马提供了一种技术手段,能够记录木马执行命令和文件操作,记录木马控制方IP地址和端口,记录所有操作的时间,同时将监测记录通过网络发送到服务器,由专业人员对记录进行分析,不影响用户正常使用,正常使用计算机无记录。 | ||
| 申请公布号 | CN103685233B | 申请公布日期 | 2016.09.14 |
| 申请号 | CN201310566399.5 | 申请日期 | 2013.11.15 |
| 申请人 | 中国人民解放军91635部队 | 发明人 | 崔振利 |
| 分类号 | H04L29/06(2006.01)I;G06F21/56(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 中国人民解放军海军专利服务中心 11044 | 代理人 | 宋涛 |
| 主权项 | 一种基于Windows内核驱动的木马监测方法,其特征在于包括以下步骤:步骤一:获取进程名称,该进程名如果为“cmd.exe”或“rar.exe”,转到步骤二,该进程名如果不为“cmd.exe”且不为“rar.exe”,转到步骤七;步骤二:如果该进程为新进程,转到步骤三,如果该进程不是新进程,转到步骤7;步骤三:获取该进程的父进程ID号,并标记为可疑进程;步骤四:该父进程有网络连接,转到步骤五,该父进程无网络连接,转到步骤六;步骤五:记录该父进程名称、IP地址、端口,并加密发送到服务端可疑进程列表存储,报警并继续监控;步骤六:记录该父进程名称并加密发送到服务端可疑进程列表存储,继续监控;步骤七:如果服务端可疑进程列表中不存在该进程,继续监控,如果服务端可疑进程列表中存在该进程,转到步骤八;步骤八:监控该进程的父进程,如果该父进程为“cmd.exe”或存在于服务端可疑进程列表中,转到步骤九,如果该父进程不为“cmd.exe”且不存在于服务端可疑进程列表中,继续监控;步骤九:该进程为可疑进程,获取其运行参数,报警并加密发送到服务端可疑进程列表存储,继续监控。 | ||
| 地址 | 102249 北京市1014信箱15号 | ||