【技术实现步骤摘要】
一种验证内存马检测能力的方法、装置及电子设备
[0001]本申请涉及网络安全
,具体涉及一种验证内存马检测能力的方法、装置及电子设备。
技术介绍
[0002]随着科技的发展,越来越多的资料被存储在计算机中,黑客通常使用木马来窃取被控计算机中的密码和重要文件,对被控计算机实施监控、资料修改等非法操作,所以,怎样在计算机被木马攻击时检测到木马是抵御木马攻击的非常重要的环节。
[0003]木马的种类多样,其中一种为内存马,也称webshell内存木马,是指在内存中写入恶意后门和木马并执行,达到远程控制Web服务器的一类内存木马,内存马攻击计算机时不生成恶意文件,手段较为隐蔽,抽象程度高。现有技术中,通常使用安全软件检测计算机中的内存马,安全软件会实时监控、捕捉 JavaWeb 服务进程内存中存在的未知类,若检测到 Java 内存马,安全软件会在告警日志中进行内存马告警,当检测人员发现告警日志中存在内存马的攻击时,即检测到内存马。
[0004]当需要测试安全软件是否具有检测内存马的能力时,若安全软件的告警日志中...
【技术保护点】
【技术特征摘要】
1.一种验证内存马检测能力的方法,其特征在于,所述方法包括以下步骤:控制哈希生成器生成哈希值,控制内存马生成器生成内存马,将所述内存马的类名修改为所述哈希值,得到测试内存马;控制所述测试内存马攻击靶机,并接收所述靶机发送的告警日志,并判断所述告警日志的固定字段中是否包括测试内存马类名对应的哈希值;若所述告警日志的固定字段中包括测试内存马类名对应的哈希值,则确认安全软件具备内存马检测能力,若所述告警日志的固定字段中不包括测试内存马类名对应的哈希值,则确认所述安全软件不具备内存马检测能力。2.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述将所述内存马的类名修改为所述哈希值,包括以下步骤:读取所述内存马的类以得到所述内存马的类名;将所述类名的字节码修改为包括所述哈希值的字节码;将修改的类名作为测试内存马的新的类。3.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述控制所述测试内存马攻击靶机,包括以下步骤:将所述测试内存马进行编码得到内存马编码文件;基于靶机内预置的反序列漏洞,将所述内存马编码文件发送至靶机。4.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所述将所述内存马编码文件发送至靶机后,包括以下步骤:根据预置的HTTP参数执行内存马攻击命令,并接收靶机对于HTTP的响应信息;判断所述响应信息内是否包括靶机的基本信息,所述基本信息包括靶机的IP地址;若响应信息内包括基本信息,则确认测试内存马成功攻击靶机;若响应信息内不包括基本信息,则确认测试内存马攻击靶机失败。5.根据权利要求1所述的一种验证内存马检测能力的方法,其特征在于,所...
【专利技术属性】
技术研发人员:聂君,罗成,宫华,孟繁强,张游知,姚逸,张践鳌,吴佳波,陈瑜,石天浩,
申请(专利权)人:北京知其安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。