[实用新型]终端木马监测装置

说明书

技术领域

本实用新型涉及一种木马病毒的监测装置，特别涉及一种对注入计算机、服务器或具有计算功能的电子设备进行木马监测的终端木马监测装置。

背景技术

木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

目前的木马查杀工具通常只能检测已知木马，但不能对疑似木马进行检测，因此不能有效查杀计算机或服务器中的木马软件。

发明内容

本实用新型的目的是提供一种能够有效检测已知木马和未知木马的终端木马监测装置，以便用户根据检测报表删除已知木马和未知木马。

本实用新型的上述目的是这样实现的，一种终端木马监测装置，包括：

连接终端的静态检测模块，用于通过对终端文件扫描来检测含有已知木马的文件；

连接终端的动态检测模块，用于通过对终端操作系统运行环境扫描来检测未知木马并评估其危险等级；

分别连接所述静态检测模块和动态检测模块的跟踪分析模块，用于监视所述已知木马和未知木马的可疑进程对文件的操作；

连接所述跟踪分析模块的报表生成模块，用于生成静态检测、动态检测报表及所述可疑进程的行为分析报表。

其中，所述静态检测模块连接终端CPU，对连接所述CPU的终端存储器中存储的所有文件进行扫描。

其中，所述动态检测模块连接所述终端CPU，对所述终端运行的操作系统运行环境进行扫描。

其中，所述报表生成模块的输出连接所述终端CPU，并通过所述终端CPU向终端输出装置输出所述报表。

其中，所述终端是计算机或服务器或具有计算功能的电子设备。

其中，所述终端存储器是硬盘或连接终端的移动存储介质。

其中，所述终端输出装置是终端显示器。

本实用新型的技术效果是：不仅可以检测常规的已知木马还可以检测未知的疑似木马，使用户可以根据所检测的已知和未知木马的危险等级，进行相应处理如删除处理，确保终端的安全运行。

下面结合附图对本实用新型进行详细说明。

附图说明

图1是本实用新型的终端木马监测装置的原理图；

图2是本实用新型的终端木马监测装置的实施例示意图。

具体实施方式

图1显示了本实用新型的终端木马监测装置的基本结构，如图1所示，本实用新型的终端木马监测装置包括：

连接终端2的静态检测模块10，用于通过对终端文件扫描来检测含有已知木马的文件；连接终端2的动态检测模块11，用于通过对终端操作系统运行环境进行扫描来检测未知木马并评估其危险等级；分别连接所述静态检测模块10和动态检测模块11的跟踪分析模块12，用于监视所述已知木马和未知木马的可疑进程对文件的操作；连接所述跟踪分析模块12的报表生成模块13，用于生成静态检测、动态检测报表及所述可疑进程的行为分析报表。

本实用新型所述的木马是木马病毒或木马程序，因此检测木马就是检测进入终端的木马病毒或木马程序。

本实用新型的特点在于：利用静态检测模块10对已知木马进行检测，即静态检测模块10通过特征字匹配的方式对多种已知木马进行检测；利用动态检测模块11对未知木马进行检测，即动态检测模块11对运行环境中的木马行为进行检测，从而发现未知的疑似木马。

本实用新型的终端可以是计算机或服务器或具有计算功能的电子设备。