CN105117647A

CN105117647A - 一种木马行为还原方法

Info

Publication number: CN105117647A
Application number: CN201510504639.8A
Authority: CN
Inventors: 梁斌; 宋苑; 王宜阳; 李佳; 吕华意; 李君生
Original assignee: Guangzhou Branch Center Of National Computer Network And Information Security Management Center
Current assignee: Guangzhou Branch Center Of National Computer Network And Information Security Management Center
Priority date: 2015-08-18
Filing date: 2015-08-18
Publication date: 2015-12-02

Abstract

本发明公开了一种木马行为还原方法，其在网络中设置入侵检测***与数据出口和入口连接，入侵检测***以木马上传和下载文件操作的网络特征来对数据出口发来的数据进行过滤，对包含相应特征的数据，复制木马命令和文件内容，并将木马命令及文件内容存储入到***的数据库中。所述的木马行为还原方法，通过读取数据库可方便的还原木马所进行的操作，以及所操作的文件。从而能稳定实用地将通过木马实现的文件窃取行为截获，并详尽记录所有得到的细节，备工作人员随时查询调阅。

Description

一种木马行为还原方法

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种木马行为的还原方法。

背景技术

目前，有很多机构都在做木马分析工作，对木马的行为进行还原，但方向和深度各不相同。从技术层面上说来，在恶意流量检测尤其是木马检测方面，现有的木马分析工作，通常是只记录行为，通信双方IP地址，时间等统计信息。即使对于木马的上传和下载文件的两种关键行为，也只能记录行为，而不还原行为针对的具体文件，从而无法知道上述行为所造成的危害。

发明内容

本发明旨在给出一种能够将上传和下载行为的所针对的具体文件内容进行还原的木马行为还原方法，以加强对木马的内容解析、行为的监控。

本发明所述的木马行为还原方法，包括如下步骤：

A、获取木马样本，模拟运行该木马程序，通过监测该木马运行，获取木马上传和下载文件操作的网络特征；

B、在网络中设置入侵检测***，入侵检测***与数据出、入口连接，可接收数据出、入口发来的数据；

C、数据出、入口设置过滤器，过滤器可根据目的IP地址对数据进行筛选过滤，将符合监测范围要求的目的IP地址的数据发送给入侵检测***；

D、入侵检测***同样设置过滤器，该过滤器对数据出、入口发来的数据再次进行过滤，以木马上传和下载文件操作的网络特征为过滤参数，将包含有木马上传和下载文件操作相对应的网络特征的数据过滤出来，复制该数据所包含的木马命令和所针对的文件内容，并将复制的木马命令及文件内容存储入到入侵检测***的数据库中。

本发明所述的木马行为还原方法，数据出、入口针对IP的过滤和入侵检测***针对具体上传、下载行为的过滤，通过上述二级过滤，入侵检测***能够监测到数据出口针对特定目的IP地址的特定木马的上传及下载文件行为，并能够将特定木马进行的上传和下载行为命令及对应行为针对的文件内容存储到数据库中。通过读取数据库，即可方便的还原木马所进行的行为，以及该行为所针对的具体文件的内容。所述方法能针对性地将通过木马实现的文件窃取行为截获，并详尽记录所有行为的细节，以备工作人员随时查询和调阅，从而了解危害的情况。并可根据危害情况，增设拦截装置，还能及时避免危害的发生。

附图说明

图1为获取木马上传和下载文件操作的网络特征的***示意图。

具体实施方式

一种木马行为还原方法，首先，确定需要监测的目标木马;然后,模拟运行该木马，获取该木马进行上传和下载文件操作时的网络特征。获取该网络特征的具体方法如下：在双虚拟机中分别安装木马的被控端和主制端，如图1，运行实例并观察分析，结合注册表和文件检测工具（例如FileMon和RegMon）分析本地行为；利用wireshark等工具录制并分析网络数据，然后采用IDA分析木马的汇编实现方法，再应用OD来动态调试，获取最终的动态运行情况。通过以上一系列的初步分析，可了解木马发送数据的方式，完全理解木马的数据发送和接受行为所使用的协议。确定目标木马上传和下载文件操作的网络特征。而后，在待监测的网络中设置入侵检测***，入侵检测***与数据进出的数据出口和入口（简称数据出、入口）连接，可接收数据出口和入口发来的数据。在确定需要监测的目的IP地址后，数据出口根据需监测的目的IP地址对数据进行过滤，将符合监测范围要求的目的IP地址的数据发送给入侵检测***。入侵检测***再通过设置的过滤器对数据出口发来的数据进行过滤，以所确定的木马上传和下载文件操作的网络特征作为过滤参数来过滤数据，将对包含该相应特征的数据过滤出来，并复制其包含的木马命令和对应的文件内容，并将木马命令及文件内容存储入到***的数据库中。通过读取数据库中的该相应数据，就可了解木马所进行的操作，及操作所对应的具体文件内容，从而实现对木马行为的监控。对于通过木马所进行的行为，详尽记录所有行为的细节，工作人员可随时查询和调阅，从而了解危害的情况。并且通过增设拦截装置，还能及时避免危害的发生。

Claims

1.一种木马行为还原方法，其特征在于：包括如下步骤：

A．获取木马样本，模拟运行该木马程序，通过监测该木马运行，获取木马上传和下载文件操作的网络特征；

B．在网络中设置入侵检测***，入侵检测***与数据出、入口连接，可接收数据出、入口发来的数据；

C．数据出、入口设置过滤器，过滤器可根据目的IP地址对数据进行筛选过滤，将符合监测范围要求的目的IP地址的数据发送给入侵检测***；

D．入侵检测***同样设置过滤器，该过滤器对数据出、入口发来的数据再次进行过滤，以木马上传和下载文件操作的网络特征为过滤参数，将包含有木马上传和下载文件操作相对应的网络特征的数据过滤出来，复制该数据所包含的木马命令和所针对的文件内容，并将复制的木马命令及文件内容存储入到入侵检测***的数据库中。