[发明专利]一种木马感染终端的网络定位方法在审
| 申请号: | 201810815241.X | 申请日: | 2018-07-24 |
| 公开(公告)号: | CN109063479A | 公开(公告)日: | 2018-12-21 |
| 发明(设计)人: | 王超 | 申请(专利权)人: | 王超 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 230000 安徽省合肥市高*** | 国省代码: | 安徽;34 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开一种木马感染终端的网络定位方法,先对网页木马进行静态检测,然后将可疑网页进行动态检测;跟踪网页木马执行过程,定位检测其Shellcode,可以有效地批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。 | ||
| 搜索关键词: | 木马 木马检测 网络定位 网页木马 感染 终端 定位检测 动态检测 静态检测 可疑网页 批量检测 终端主机 有效地 单机 跟踪 网络 | ||
【主权项】:
1.一种木马感染终端的网络定位方法,其特征在于,包括以下操作步骤:(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的Java Script脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出Java Script脚本中类似eval()的关键函数;(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于王超,未经王超许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810815241.X/,转载请声明来源钻瓜专利网。
