【技术实现步骤摘要】
一种内存马处理方法及系统
[0001]本申请涉及网络安全
,具体而言,涉及一种内存马处理方法及系统。
技术介绍
[0002]随着网络的不断发展,Java Web内存马(以下简称内存马)也开始逐渐进入人们的视野中。这是一种无文件落地的webshell技术,是由于 webshell 特征识别、防篡改、目录监控等等针对 web 应用目录或服务器文件防御手段的介入,导致的有文件落地的webshell 难以写入和持久而衍生出的一种木马。现有的内存马处理方法,通常对目标进程进行注入检测代码并且确定敏感类的字节码,再将字节码转换为伪代码,由人工进行判断其中是否存在内存马。然而,在实践中发现,现有方法对目标进程侵入性较强,存在可能影响目标进程正常功能的情况,同时人工判断的方法效率低,且在判断出存在内存马时无法及时进行内存马处理。
技术实现思路
[0003]本申请实施例的目的在于提供一种内存马处理方法及系统,能够减少对目标进程的侵入性,且能够自动检测内存马并自动对检测到的内存马进行处理,处理效率高,进而有利于维护设备安全...
【技术保护点】
【技术特征摘要】
1.一种内存马处理方法,其特征在于,应用于内存马处理系统,所述内存马处理系统包括检测装置和控制代理装置,所述方法包括:所述检测装置扫描待检测设备的进程列表,其中,所述进程列表包括所述待检测设备运行的至少一个进程以及每个所述进程对应的标识信息;所述检测装置以所述标识信息为参数依次将预先配置的控制代理程序注入每个所述进程;所述控制代理程序对每个所述进程中所有已加载的类进行可疑类检测,得到可疑类检测结果;所述检测装置根据所述可疑类检测结果进行内存马检测,得到检测结果;并将所述检测结果反馈给所述控制代理程序;所述控制代理程序根据所述检测结果确定被注入内存马的目标进程,并通过字节码增强技术对所述目标进程中的恶意类进行清除处理。2.根据权利要求1所述的内存马处理方法,其特征在于,所述控制代理程序对每个所述进程中所有已加载的类进行可疑类检测,得到可疑类检测结果,包括:所述控制代理程序根据预先设定的风险计算公式计算每个所述进程中每个类的安全风险等级;所述控制代理程序根据所述安全风险等级从每个所述进程的所有类中筛选出安全风险等级大于预设等级阈值的类,作为可疑类;所述控制代理程序获取所述可疑类对应的字节码数据,并根据所述字节码数据生成可疑类检测结果。3.根据权利要求2所述的内存马处理方法,其特征在于,所述检测装置根据所述可疑类检测结果进行内存马检测,得到检测结果,包括:所述检测装置对所述字节码数据进行基于反编译的伪代码分析,得到分析结果;所述检测装置根据所述分析结果确定进行内存马检测,得到检测结果。4.根据权利要求1所述的内存马处理方法,其特征在于,所述控制代理程序通过字节码增强技术对所述目标进程中的恶意类进行清除处理,包括:所述控制代理程确定所述目标进程中的恶意类;所述控制代理程序通过字节码增强技术加载新字节码;所述控制代理程序在所述新字节码通过校验时,根据所述新字节码对所述恶意类进行替换,以完成对所述恶意类的清除处理。5.根据权利要求1所述的内存马处理方法,其特征在于,在所述控制代理程序通过字节码增强技术对所述目标进程中的恶意类进行清除处理之后,所述方法还包括:所述检测装置通过预设的类转换器对每个所述进程中的所述控制代理程序进行自卸载处理。6.根据权利要求1所述...
【专利技术属性】
技术研发人员:唐庆寅,卢胜,樊兴华,薛锋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。