一種基於Windows內核驅動的木馬監測方法

2023-05-08 16:55:46

一種基於Windows內核驅動的木馬監測方法
【專利摘要】為防止木馬程序對聯網計算機的侵害，本發明提供一種木馬監測方法，一旦作業系統執行命令，該方法對執行命令進行分析，首先判斷是否為「CMD.EXE」或「RAR.EXE」，如果是，則分析調用「CMD.EXE」或「RAR.EXE」進程的網絡連接，如存在網絡連接，則記錄網絡連接埠和IP位址，將該進程理解為木馬進程加以重點監測，之後記錄其執行的所有命令和文件操作，並對其子進程也進行重點監測，並將監測記錄發送到指定伺服器，為發現計算機木馬提供了一種技術手段，能夠記錄木馬執行命令和文件操作，記錄木馬控制方IP位址和埠，記錄所有操作的時間，同時將監測記錄通過網絡發送到伺服器，由專業人員對記錄進行分析，不影響用戶正常使用，正常使用計算機無記錄。
【專利說明】—種基於Windows內核驅動的木馬監測方法
所屬【技術領域】
[0001]本發明屬於網絡安全【技術領域】，能夠監測聯網計算機木馬操作。
【背景技術】
[0002]計算機木馬危害性很大，雖然殺毒軟體、防火牆等技術手段可以攔截木馬，但還是有大量計算機被木馬控制，給國家、單位、個人帶來損失。特別是針對特定殺毒軟體研製的專用木馬，能在只安裝該殺毒軟體的計算機內運行而不被發現。網絡入侵檢測系統是通過分析網絡數據來發現異常並阻斷網絡入侵的技術手段，但一般只有大型網絡系統才配備網絡入侵檢測系統，且由於網絡數據巨大，難以分析發現所有的網絡入侵。

【發明內容】

[0003]本發明能夠對木馬進行監測，記錄木馬控制方IP位址及網絡連接埠，記錄木馬運行命令，文件操作，並將監測記錄發送到指定伺服器，專業人員根據監測記錄可以判斷木馬性質與危害，並採取相應防護措施。
[0004]本發明提供一種基於Windows內核驅動的木馬監測方法，其特徵在於包括以下步驟:
[0005]步驟一:獲取進程名稱，該進程名如果為「cmd.exe」或「rar.exe」，轉到步驟二，該進程名如果不為「cmd.exe」且不為「rar.exe」，轉到步驟七；
[0006]步驟二:如果該進程為新進程，轉到步驟三，如果該進程不是新進程，轉到步驟7 ；
[0007]步驟三:獲取該進程的父進程ID號，並標記為可疑進程；
[0008]步驟四:該父進程有網絡連接，轉到步驟五，該父進程無網絡連接，轉到步驟六；
[0009]步驟五:記錄該父進程名稱、IP位址、埠，並加密發送到服務端可疑進程列表存儲，報警並繼續監控；
[0010]步驟六:記錄該父進程名稱並加密發送到服務端可疑進程列表存儲，繼續監控；
[0011]步驟七:如果服務端可疑進程列表中不存在該進程，繼續監控，如果服務端可疑進程列表中存在該進程，轉到步驟八；
[0012]步驟八:監控該進程的父進程，如果該父進程為「cmd.exe」或存在於服務端可疑進程列表中，轉到步驟九，如果該父進程不為「cmd.exe」且不存在於服務端可疑進程列表中，繼續監控；
[0013]步驟九:該進程為可疑進程，獲取其運行參數，報警並加密發送到服務端可疑進程列表存儲，繼續監控。
[0014]本發明解決其技術問題所依據的原理是:計算機木馬的主要作用是實現對計算機的遠程控制，既能夠在被控制計算機執行命令，木馬的另一目的是獲取計算機內重要文檔數據。為增加木馬隱蔽性，木馬一般通過CMD.EXE在後臺執行操作，為方便獲取文檔，通常使用RAR.EXE將多個文檔壓縮成一個文件，再通過網絡傳遞出去。基於這一特性，在後臺執行CMD.EXE和RAR.EXE的進程，很大程度上是木馬進程，至少是具有木馬特徵的進程，如果這個進程和網絡連接，則是木馬的可能性更大。而普通人員使用計算機，一般不會執行CMD.ΕΧΕ 和 RAR.ΕΧΕ。
[0015]本發明解決其技術問題採用的技術方案是:在聯網計算機安裝監測驅動，對32位作業系統，Η00Κ系統內核函數NtCreateSection，對64位作業系統，註冊系統回調函數。一旦作業系統執行命令，監測驅動對執行命令進行分析，首先判斷是否為「CMD.ΕΧΕ」或「RAR.EXE",如果是，則分析調用「CMD.ΕΧΕ」或「RAR.ΕΧΕ」進程的網絡連接，如存在網絡連接，則記錄網絡連接埠和IP位址，將該進程理解為木馬進程加以重點監測，之後記錄其執行的所有命令和文件操作，並對其子進程也進行重點監測。EXPLORER.ΕΧΕ為桌面應用進程，也可能調用CMD.ΕΧΕ,為避免記錄用戶正常操作，只記錄CMD.ΕΧΕ執行命令，不記錄EXPLORER.ΕΧΕ執行的其它操作。
[0016]本發明的有益效果是，為發現計算機木馬提供了一種技術手段，能夠記錄木馬執行命令和文件操作，記錄木馬控制方IP位址和埠，記錄所有操作的時間。將監測記錄通過網絡發送到伺服器，由專業人員對記錄進行分析，不影響用戶正常使用，正常使用計算機無記錄。
【專利附圖】

【附圖說明】
[0017]圖1是本發明的監測流程圖。
[0018]圖2是本發明的監測記錄樣本。
[0019]圖3是本發明的監測記錄樣本。
【具體實施方式】
[0020]下面結合附圖和實施例對本發明進一步說明。
[0021]在圖1中，首先獲得當前執行進程的文件名，判斷是否為「cmd.exe」或「rar.exe",如果是則分析該進程是否為新進程，如果不是新進程，則不再處理，直接返回。
[0022]如果是新進程，則將該進程名及ID號保存到可疑進程列表，再獲得其父進程ID和進程名，然後查找當前網絡連接進程中是否包含該父進程，如父進程具有網絡連接，則記錄網絡連接的本地IP位址和埠、遠程IP位址和埠，連同父進程名一起加密發送到伺服器。如父進程不存在網絡連接，則只將父進程名加密發送到伺服器。如果父進程名不為"explorer, exe」，則將父進程名及ID號保存到可疑進程列表。如果當前進程名不為「cmd.exe」和「rar.exe」，則需判斷當前進程是否由可疑進程調用。首先判斷可疑進程列表是否為空，為空則不再處理，直接返回，否則獲得當前進程的父進程ID和進程名，查看父進程是否在可疑進程列表，如不在，則返回，如果父進程為可疑進程，則獲取當前進程的運行參數，連同當前進程名一起加密發送到伺服器，並將該進程保存到可疑進程列表，同時，監測驅動註冊為文件過濾驅動，只處理PostCreate消息。該消息在文件生成完成(PostCreate)後觸發，可獲得文件名信息。如果文件操作的當前進程為可疑進程，則記錄該文件名並加密發送到伺服器。
[0023]在圖2中，列表第1項為機器編號，第2項為被監測機器的人員信息，第3項為記錄時間，第4項為記錄內容。在計算機監測驅動安裝時，以硬碟序列號為依據產生安裝編號，伺服器端接收到記錄後，根據對應編號保存到相應文件中。[0024]監測記錄內容「遠程:」表示該進程具有網絡連接，其後為進程名，本地IP位址與埠，遠程IP位址和埠。
[0025]其它監測記錄為執行命令。
[0026]在圖3中，從下向上,第I條記錄為「進程:explorer.exe」,表示為當前桌面調用。
[0027]第2條記錄為「net user」,是查看計算機用戶信息。
[0028]第3條記錄為「ipconfig/all」,是查看計算機網絡配置情況。
[0029]第4 條記錄為「遠程:scvhost.exel92.168.1.25:4319192.168.1.22:1353」，表示 scvhost.exe 存在遠程連接，192.168.1.25:4319 是本地 IP 地址和端 口，192.168.1.22:1353是遠程IP位址和埠。
[0030]第5 條記錄為 「C:\ffIND0WS\system32\conime.exe」,是輸入法調用。
[0031]第6條記錄為「netstat-an」,是查看計算機網絡連接情況。
[0032]第7條記錄為「File:C:\新建文件夾\流程圖.doc」,是scvhost.exe操作該文件。
[0033]第8條記錄為「hyclient」，是執行程序。
[0034]第10條記錄為「tasklist」,是查看計算機進程執行情況。
[0035]第11 條記錄為「遠程:hyclient.exel92.168.1.25:1198114.XXX.83.12:8080」,新加載進程hyclient.exe網絡連接情況。
[0036]第12條記錄為「c:\SVCS.exe」,執行程序
[0037]第13條記錄為「File:C:\msvsdk.dll」,是文件操作記錄。
【權利要求】
1.一種基於Windows內核驅動的木馬監測方法,其特徵在於包括以下步驟:步驟一:獲取進程名稱，該進程名如果為「cmd.exe」或「rar.exe」，轉到步驟二，該進程名如果不為「cmd.exe」且不為「rar.exe」，轉到步驟七；步驟二:如果該進程為新進程，轉到步驟三，如果該進程不是新進程，轉到步驟7 ;步驟三:獲取該進程的父進程ID號，並標記為可疑進程；步驟四:該父進程有網絡連接，轉到步驟五，該父進程無網絡連接，轉到步驟六；步驟五:記錄該父進程名稱、IP位址、埠，並加密發送到服務端可疑進程列表存儲，報警並繼續監控；步驟六:記錄該父進程名稱並加密發送到服務端可疑進程列表存儲，繼續監控；步驟七:如果服務端可疑進程列表中不存在該進程，繼續監控，如果服務端可疑進程列表中存在該進程，轉到步驟八；步驟八:監控該進程的父進程，如果該父進程為「cmd.exe"或存在於服務端可疑進程列表中，轉到步驟九，如果該父進程不為「cmd.exe"且不存在於服務端可疑進程列表中，繼續監控；步驟九:該進程為可疑進程，獲取其運行參數，報警並加密發送到服務端可疑進程列表存儲，繼續監控。
【文檔編號】G06F21/56GK103685233SQ201310566399
【公開日】2014年3月26日 申請日期:2013年11月15日 優先權日:2013年11月15日
【發明者】崔振利 申請人:中國人民解放軍91635部隊