一种内存马的查杀方法及系统技术方案

本申请提供一种内存马的查杀方法及系统，所述方法可以创建木马查杀脚本，木马查杀脚本包括修改操作模块

【技术实现步骤摘要】
一种内存马的查杀方法及系统


[0001]本申请涉及计算机网络信息安全
，尤其涉及一种内存马的查杀方法及系统
。

技术介绍

[0002]内存马，也称不死马，是指一种恶意代码或后门，通过隐藏自身，避免文件落盘，让后门代码在内存中驻留，并且可以通过特定的方式访问，触发执行
。
它被设计成在受感染的系统上保持持久存在，以便攻击者可以在不断连接和断开的情况下保持对系统的控制
。
[0003]内存马的形式包括
PHP
内存马，在超文本预处理器
(Hypertext Preprocessor
，
PHP)
环境中，内存马可以是一个
PHP
脚本，它被插入到受攻击的服务器上，以便攻击者可以在服务器上执行任意指令
、
上传文件
、
访问敏感数据等
。
这些后门脚本可以隐藏在合法的文件中，使其更难以被发现，同时也可以使用各种技术来绕过安全检测和防护机制
。
[0004]为了维护网络信息安全，可以对内存马进行查杀
。
对于内存马的查杀办法包括两种，分别为重启设备和杀掉进程
。
但是上述两种办法并不能彻底清除内存马，只是打断内存马执行的过程
。
如果攻击者再次访问，依旧可以触发执行
。
并且查杀过程还会导致业务中断，降低用户体验
。

技术实现思路

[0005]本申请提供一种内存马的查杀方法及系统，以解决内存马不能被彻底清除查杀的问题
。
[0006]第一方面，本申请提供一种内存马的查杀方法，包括：
[0007]创建木马查杀脚本，所述木马查杀脚本包括修改操作模块
、
目录路径和监控模块；
[0008]获取待监控目录路径，以及在所述目录路径中定义所述待监控目录路径；
[0009]基于所述监控模块监控所述待监控目录路径中的文件；
[0010]在监控到所述待监控目录路径中的内存马文件时，按照所述修改操作模块修改所述内存马文件的文件权限或修改所述内存马文件
。
[0011]在可选的实施方式中，创建木马查杀脚本的步骤，包括：
[0012]创建初始脚本；
[0013]在所述初始脚本中创建事件基类，所述事件基类用于处理文件系统事件；
[0014]在所述事件基类中编写修改操作模块；
[0015]在所述初始脚本中设置目录路径，以及创建事件处理器，所述事件处理器为所述事件基类的实例；
[0016]将所述事件处理器和所述目录路径关联；
[0017]创建监控模块，所述监控模块用于基于所述事件处理器监控所述目录路径中的文件；
[0018]将所述修改操作模块
、
所述目录路径和所述监控模块封装为所述木马查杀脚本
。
[0019]在可选的实施方式中，在监控到所述待监控目录路径中的内存马文件时，所述方法还包括：
[0020]调用所述修改操作模块中的权限修改命令；
[0021]读取所述权限修改命令中预设的文件权限参数；
[0022]按照所述文件权限参数将所述内存马文件的文件权限设置为只写
。
[0023]在可选的实施方式中，在监控到所述待监控目录路径中的内存马文件时，所述方法还包括：
[0024]调用所述修改操作模块中的重命名函数；
[0025]获取预设的新文件名称；
[0026]基于所述重命名函数将所述内存马文件重命名为所述新文件名称
。
[0027]在可选的实施方式中，获取预设的新文件名称的步骤，包括：
[0028]获取所述内存马文件的文件名称；
[0029]为所述文件名称添加文件拓展名，以得到所述新文件名称
。
[0030]在可选的实施方式中，在监控到所述待监控目录路径中的内存马文件时，所述方法还包括：
[0031]调用所述修改操作模块中的删除函数；
[0032]基于所述删除函数删除所述内存马文件
。
[0033]在可选的实施方式中，在监控到所述待监控目录路径中的内存马文件时，所述方法还包括：
[0034]调用所述修改操作模块中的修改内容函数；
[0035]读取所述修改内容函数中预设的修改内容；
[0036]按照所述修改内容修改所述内存马文件
。
[0037]在可选的实施方式中，所述方法还包括：
[0038]基于所述监控模块监控所述待监控目录路径中文件的文件状态；
[0039]如果监控到所述文件状态为运行且被更改，将处于运行且被更改文件状态对应的文件标记为内存马文件
。
[0040]在可选的实施方式中，所述方法还包括：
[0041]在所述木马查杀脚本中设置延迟函数；
[0042]在所述延迟函数中定义间隔时间；
[0043]控制所述监控模块间隔所述间隔时间检测所述待监控目录路径中的文件
。
[0044]第二方面，本申请提供一种内存马的查杀系统，包括：终端设备和网络管理设备，所述终端设备与所述网络管理设备建立通信连接；
[0045]所述网络管理设备被配置为：
[0046]创建木马查杀脚本，所述木马查杀脚本包括修改操作模块
、
目录路径和监控模块；
[0047]获取待监控目录路径，以及在所述目录路径中定义所述待监控目录路径；
[0048]基于所述监控模块监控所述待监控目录路径中的文件；
[0049]在监控到所述待监控目录路径中的内存马文件时，按照所述修改操作模块修改所述内存马文件的文件权限或修改所述内存马文件，所述内存马文件为包含内存马的文件
。
[0050]由以上技术方案可知，本申请提供一种内存马的查杀方法及系统，所述方法可以
创建木马查杀脚本，木马查杀脚本包括修改操作模块
、
目录路径和监控模块
。
获取待监控目录路径，以及在目录路径中定义待监控目录路径
。
再基于监控模块监控待监控目录路径中的文件
。
在监控到待监控目录路径中的内存马文件时，按照修改操作模块修改内存马文件的文件权限或修改内存马文件
。
所述方法可以使用自动化脚本监控指定目录中文件变化，并在监控到内存马文件时，修改内存马文件的权限，禁止内存马文件读写，或者以条件竞争的方式修改内存马文件，使其不可被稳定访问，解决内存马不能被彻底清除查杀的问题
。
附图说明
[0051]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种内存马的查杀方法，其特征在于，包括：创建木马查杀脚本，所述木马查杀脚本包括修改操作模块
、
目录路径和监控模块；获取待监控目录路径，以及在所述目录路径中定义所述待监控目录路径；基于所述监控模块监控所述待监控目录路径中的文件；在监控到所述待监控目录路径中的内存马文件时，按照所述修改操作模块修改所述内存马文件的文件权限或修改所述内存马文件
。2.
根据权利要求1所述的内存马的查杀方法，其特征在于，创建木马查杀脚本的步骤，包括：创建初始脚本；在所述初始脚本中创建事件基类，所述事件基类用于处理文件系统事件；在所述事件基类中编写修改操作模块；在所述初始脚本中设置目录路径，以及创建事件处理器，所述事件处理器为所述事件基类的实例；将所述事件处理器和所述目录路径关联；创建监控模块，所述监控模块用于基于所述事件处理器监控所述目录路径中的文件；将所述修改操作模块
、
所述目录路径和所述监控模块封装为所述木马查杀脚本
。3.
根据权利要求1所述的内存马的查杀方法，其特征在于，在监控到所述待监控目录路径中的内存马文件时，所述方法还包括：调用所述修改操作模块中的权限修改命令；读取所述权限修改命令中预设的文件权限参数；按照所述文件权限参数将所述内存马文件的文件权限设置为只写
。4.
根据权利要求1所述的内存马的查杀方法，其特征在于，在监控到所述待监控目录路径中的内存马文件时，所述方法还包括：调用所述修改操作模块中的重命名函数；获取预设的新文件名称；基于所述重命名函数将所述内存马文件重命名为所述新文件名称
。5.
根据权利要求4所述的内存马的查杀方法，其特征在于，获取预设的新文件名称的步骤，包括：获取所述内存马文...

【专利技术属性】
技术研发人员：甘安兴，
申请(专利权)人：上海安博通信息科技有限公司，
类型：发明
国别省市：