本申请实施例提供一种木马清除方法、装置、电子设备及存储介质,其中,该方法包括:获取木马样本中具有自动下载功能的木马,得到下载类木马;根据下载类木马获得专杀工具;获取下载类木马的域名信息以及域名信息类型;开放反制系统的连接端口,以使反制系统接收域名信息对应的流量;根据域名信息类型将域名信息对应的流量牵引至反制系统;通过专杀工具对下载类木马进行清除。实施本申请实施例,解决了大规模木马感染无法清除的问题,保证了网络安全。全。全。
【技术实现步骤摘要】
一种木马清除方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种木马清除方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]在网络安全发展的过程中,会出现各式各样的木马,木马会对网络安全造成巨大的威胁,因此,木马的清除对于安全研究人员来说也是一直以来的研究课题。由于木马种类繁多,有些木马专门用于潜伏和信息收集,模块少,容易清除。但对于一些自动化传播的木马,模块众多,使用特征码很难进行有效查杀。
[0003]现有技术主要是依赖传统流量特征的检测识别木马,从而获取木马相应的自删除指令,对木马进行删除,但是,很多木马不存在自删除指令,或者木马的自删除指令很难被获取到,导致木马无法被有效清除,导致系统瘫痪。
技术实现思路
[0004]本申请实施例的目的在于提供一种木马清除方法、装置、电子设备及计算机可读存储介质,解决了大规模木马感染之后无法清除的问题,保证了网络安全。
[0005]第一方面,本申请实施例提供了一种木马清除方法,所述方法包括:获取木马样本中具有自动下载功能的木马,得到下载类木马;根据所述下载类木马获得专杀工具;获取所述下载类木马的域名信息以及域名信息类型;开放所述反制系统的连接端口,以使所述反制系统接收所述域名信息对应的流量;根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统;通过所述专杀工具对所述下载类木马进行清除。
[0006]在上述实现过程中,利用木马自身的逻辑,使木马连接到反制系统自动下载专杀工具,达到木马自动清除的效果,解决了大规模木马感染无法清除的问题,保证了网络安全。
[0007]进一步地,所述根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统的步骤,包括:若所述域名信息类型包括域名系统(Domain Name System,DNS)地址,对所述下载类木马进行欺骗操作,将所述DNS对应的流量牵引至反制系统;或者,若所述域名信息类型包括网际互连协议(Internet Protocol,IP)地址,对所述下载类木马进行劫持操作,将所述IP地址对应的流量牵引至所述反制系统;或者,若所述域名信息类型包括DNS和IP地址,根据所述DNS对所述下载类木马进行欺骗操作,根据所述IP地址对所述下载类木马进行劫持操作。
[0008]在上述实现过程中,可以根据域名信息类型的不同对下载类木马作欺骗操作、劫
持操作等相应操作;或者,先根据DNS对下载类木马进行欺骗操作,再根据IP地址对下载类木马进行劫持操作,保证下载类木马在清除过程中不会出现意外。
[0009]进一步地,所述对所述下载类木马进行欺骗操作,将所述DNS对应的流量牵引至反制系统的步骤,包括:获取伪DNS服务器的IP地址;在网关上添加静态路由,以使所述DNS对应的流量通过所述伪DNS服务器的IP地址牵引至所述反制系统。
[0010]在上述实现过程中,通过伪DNS服务器将DNS牵引至反制系统,在不触发下载类木马的前提下将下载类木马引流,保证网络系统的安全性,同时可以使得下载类木马得到有效清除。
[0011]进一步地,若所述网关存在DNS服务器,在所述获取伪DNS服务器的IP地址的步骤之后,还包括:将所述DNS对应的流量牵引至所述反制系统。
[0012]在上述实现过程中,若网关存在DNS服务器,则不需要获取伪DNS服务器的IP地址,可以直接将DNS对应的流量牵引至所述反制系统,节省了时间和内存。
[0013]进一步地,所述对所述下载类木马进行劫持操作,将所述IP地址对应的流量牵引至所述反制系统的步骤,包括:在网关上添加静态路由,将所述IP地址对应的流量牵引至所述反制系统。
[0014]在上述实现过程中,域名信息为IP地址时,可以直接将IP地址对应的流量牵引至所述反制系统,提高了引流效率和效果,同时不会触发下载类木马的下载功能。
[0015]进一步地,所述开放所述反制系统的连接端口,以使所述反制系统接收所述域名信息对应的流量的步骤,包括:提取所述DNS对应的流量或者所述IP地址对应的流量中的端口号;开放所述端口号对应的连接端口,以使所述反制系统接收所述DNS对应的流量或者所述IP地址对应的流量。
[0016]在上述实现过程中,提取DNS对应的端口号或者IP地址对应的端口号,并根据端口号进行端口连接,可以节省多个端口同时开放造成的浪费,同时使得下载类木马可以得到有效地清除。
[0017]进一步地,所述根据所述下载类木马获得专杀工具的步骤,包括:获取所述下载类木马对应的木马类型;根据所述木马类型获取所述下载类木马的木马结构信息;根据所述木马结构信息制作所述专杀工具。
[0018]在上述实现过程中,根据相应的木马结构信息制作相应的专杀工具,保证下载类木马可以被有效清除,不会发生下载类木马的遗漏情况,且清除效率更高。
[0019]第二方面,本申请实施例还提供了一种木马清除装置,所述装置包括:获取模块,用于获取木马样本中具有自动下载功能的木马,得到下载类木马;还用于获取所述下载类木马的域名信息以及域名信息类型;制作模块,用于根据所述下载类木马获得专杀工具;连接模块,用于开放所述反制系统的连接端口,以使所述反制系统接收所述域名
信息对应的流量;引流模块,用于根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统;清除模块,用于通过所述专杀工具对所述下载类木马进行清除。
[0020]在上述实现过程中,在上述实现过程中,利用木马自身的逻辑,通过DNS或者IP劫持,使木马连接到反制系统自动下载专杀工具,达到木马自动清除的效果,解决了大规模木马感染无法清除的问题,保证了网络安全。
[0021]第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
[0022]第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
[0023]第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
[0024]本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
[0025]并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
[0026]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0027]图1为本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种木马清除方法,其特征在于,所述方法包括:获取木马样本中具有自动下载功能的木马,得到下载类木马;根据所述下载类木马获得专杀工具;获取所述下载类木马的域名信息以及域名信息类型;开放所述反制系统的连接端口,以使所述反制系统接收所述域名信息对应的流量;根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统;通过所述专杀工具对所述下载类木马进行清除。2.根据权利要求1所述的木马清除方法,其特征在于,所述根据所述域名信息类型将所述域名信息对应的流量牵引至反制系统的步骤,包括:若所述域名信息类型包括DNS,对所述下载类木马进行欺骗操作,将所述DNS对应的流量牵引至反制系统;或者,若所述域名信息类型包括IP地址,对所述下载类木马进行劫持操作,将所述IP地址对应的流量牵引至所述反制系统;或者,若所述域名信息类型包括DNS和IP地址,根据所述DNS对所述下载类木马进行欺骗操作,根据所述IP地址对所述下载类木马进行劫持操作。3.根据权利要求2所述的木马清除方法,其特征在于,所述对所述下载类木马进行欺骗操作,将所述DNS对应的流量牵引至反制系统的步骤,包括:获取伪DNS服务器的IP地址;在网关上添加静态路由,以使所述DNS对应的流量通过所述伪DNS服务器的IP地址牵引至所述反制系统。4.根据权利要求3所述的木马清除方法,其特征在于,若所述网关存在DNS服务器,在所述获取伪DNS服务器的IP地址的步骤之后,还包括:将所述DNS对应的流量牵引至所述反制系统。5.根据权利要求2所述的木马清除方法,其特征在于,所述对所述下载类木马进行劫持操作,将所述IP地址对应的流量牵引至所...
【专利技术属性】
技术研发人员:李博,李霂容,方东东,曲子恢,樊兴华,薛锋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。