【技术实现步骤摘要】
一种僵尸网络的跟踪方法及装置
本申请涉及网络安全
,尤其涉及一种僵尸网络的跟踪方法及装置。
技术介绍
在僵尸网络中,不法分子通过恶意程序感染互联网上的大量主机,从而在主控端和多个受控端之间形成一对多的控制网络,由于僵尸网络的危害极大,所以对僵尸网络进行监测是防御僵尸网络攻击的重要手段。目前监测僵尸网络的方式为安全研究员逆向分析恶意程序,根据分析结果仿写出模拟恶意程序通信行为、具备指令记录能力的跟踪程序,然后利用跟踪程序将某个主机伪装成受控端,打入僵尸网络内部来获得情报,然而,对主控端发送的密文恶意指令,安全研究员需人工识别控制者使用的加密算法并在跟踪程序中实现其加解密算法,费时费力、且成本高。另外,僵尸网络可能会使用不同的加密算法来对不同的恶意指令进行加密,而即便是使用同一加密算法僵尸网络也可能会使用不同的密钥,因此,对僵尸网络无法使用统一的跟踪程序进行跟踪。可见,现有技术中存在着将密文恶意指令解密为明文恶意指令的能力不足而导致的难以跟踪僵尸网络的问题。
技术实现思路
本申请实施例提供一种僵尸网络的跟踪方法及装置,用以解决现有技术中存在的将密文恶意指令解密为明文...
【技术保护点】
1.一种僵尸网络的跟踪方法,其特征在于,预先对僵尸网络的恶意程序进行分析确定所述恶意程序的内存搜索特征,将所述恶意程序部署到虚拟机中,使所述虚拟机成为受控端,其中,所述内存搜索特征包括所述恶意程序的字符特征和执行特征,以及所述方法包括:受控端对自身运行的任一程序,若确定该程序的执行代码符合所述字符特征,则在该程序对应的内存中搜索符合所述执行特征的目标代码,所述目标代码为预先确定的所述恶意程序在解密主控端发送的密文恶意指令后所运行的代码;若搜索到所述目标代码,则确定该程序为恶意程序,对搜索到的所述目标代码进行挂钩,钩取该程序在解密密文恶意指令后执行的明文恶意指令,解析所述明文...
【技术特征摘要】
1.一种僵尸网络的跟踪方法,其特征在于,预先对僵尸网络的恶意程序进行分析确定所述恶意程序的内存搜索特征,将所述恶意程序部署到虚拟机中,使所述虚拟机成为受控端,其中,所述内存搜索特征包括所述恶意程序的字符特征和执行特征,以及所述方法包括:受控端对自身运行的任一程序,若确定该程序的执行代码符合所述字符特征,则在该程序对应的内存中搜索符合所述执行特征的目标代码,所述目标代码为预先确定的所述恶意程序在解密主控端发送的密文恶意指令后所运行的代码;若搜索到所述目标代码,则确定该程序为恶意程序,对搜索到的所述目标代码进行挂钩,钩取该程序在解密密文恶意指令后执行的明文恶意指令,解析所述明文恶意指令确定该程序在用户空间中执行的操作;保存该程序在用户空间中的操作信息。2.如权利要求1所述的方法,其特征在于,若该程序属于编译型语言,则所述目标代码为目标指令;若该程序属于解释型语言,则所述目标代码为中间码。3.如权利要求2所述的方法,其特征在于,若所述目标代码为中间码,则对搜索到的所述目标代码进行挂钩,包括:在所述中间码对应的内存地址上设置断点,利用所述断点对所述中间码进行挂钩。4.如权利要求1所述的方法,其特征在于,在该程序对应的内存中搜索符合所述执行特征的目标代码之前,还包括:确定该程序使用的不是安全套接层SSL协议。5.如权利要求4所述的方法,其特征在于,若确定该程序使用的是SSL协议,则还包括:对该程序调用的SSL协议库函数进行挂钩,执行所述钩取该程序在解密密文恶意指令后执行的明文恶意指令的步骤。6.一种僵尸网络的跟踪装置,其特征在于,预先对僵尸网络的恶意程序进行分析确定所述恶意程序的内存搜索特征,将所述恶意程序部署到虚拟机中,使所述虚拟机成为受控端,其中,所述内存搜索特征包括所述恶意程序的字符特征和执行特...
【专利技术属性】
技术研发人员:杜元正,吴铁军,杨晖,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。