CN105117647A - 一种木马行为还原方法 - Google Patents
一种木马行为还原方法 Download PDFInfo
- Publication number
- CN105117647A CN105117647A CN201510504639.8A CN201510504639A CN105117647A CN 105117647 A CN105117647 A CN 105117647A CN 201510504639 A CN201510504639 A CN 201510504639A CN 105117647 A CN105117647 A CN 105117647A
- Authority
- CN
- China
- Prior art keywords
- data
- wooden horse
- trojan
- detection system
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种木马行为还原方法,其在网络中设置入侵检测***与数据出口和入口连接,入侵检测***以木马上传和下载文件操作的网络特征来对数据出口发来的数据进行过滤,对包含相应特征的数据,复制木马命令和文件内容,并将木马命令及文件内容存储入到***的数据库中。所述的木马行为还原方法,通过读取数据库可方便的还原木马所进行的操作,以及所操作的文件。从而能稳定实用地将通过木马实现的文件窃取行为截获,并详尽记录所有得到的细节,备工作人员随时查询调阅。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种木马行为的还原方法。
背景技术
目前,有很多机构都在做木马分析工作,对木马的行为进行还原,但方向和深度各不相同。从技术层面上说来,在恶意流量检测尤其是木马检测方面,现有的木马分析工作,通常是只记录行为,通信双方IP地址,时间等统计信息。即使对于木马的上传和下载文件的两种关键行为,也只能记录行为,而不还原行为针对的具体文件,从而无法知道上述行为所造成的危害。
发明内容
本发明旨在给出一种能够将上传和下载行为的所针对的具体文件内容进行还原的木马行为还原方法,以加强对木马的内容解析、行为的监控。
本发明所述的木马行为还原方法,包括如下步骤:
A、获取木马样本,模拟运行该木马程序,通过监测该木马运行,获取木马上传和下载文件操作的网络特征;
B、在网络中设置入侵检测***,入侵检测***与数据出、入口连接,可接收数据出、入口发来的数据;
C、数据出、入口设置过滤器,过滤器可根据目的IP地址对数据进行筛选过滤,将符合监测范围要求的目的IP地址的数据发送给入侵检测***;
D、入侵检测***同样设置过滤器,该过滤器对数据出、入口发来的数据再次进行过滤,以木马上传和下载文件操作的网络特征为过滤参数,将包含有木马上传和下载文件操作相对应的网络特征的数据过滤出来,复制该数据所包含的木马命令和所针对的文件内容,并将复制的木马命令及文件内容存储入到入侵检测***的数据库中。
本发明所述的木马行为还原方法,数据出、入口针对IP的过滤和入侵检测***针对具体上传、下载行为的过滤,通过上述二级过滤,入侵检测***能够监测到数据出口针对特定目的IP地址的特定木马的上传及下载文件行为,并能够将特定木马进行的上传和下载行为命令及对应行为针对的文件内容存储到数据库中。通过读取数据库,即可方便的还原木马所进行的行为,以及该行为所针对的具体文件的内容。所述方法能针对性地将通过木马实现的文件窃取行为截获,并详尽记录所有行为的细节,以备工作人员随时查询和调阅,从而了解危害的情况。并可根据危害情况,增设拦截装置,还能及时避免危害的发生。
附图说明
图1为获取木马上传和下载文件操作的网络特征的***示意图。
具体实施方式
一种木马行为还原方法,首先,确定需要监测的目标木马;然后,模拟运行该木马,获取该木马进行上传和下载文件操作时的网络特征。获取该网络特征的具体方法如下:在双虚拟机中分别安装木马的被控端和主制端,如图1,运行实例并观察分析,结合注册表和文件检测工具(例如FileMon和RegMon)分析本地行为;利用wireshark等工具录制并分析网络数据,然后采用IDA分析木马的汇编实现方法,再应用OD来动态调试,获取最终的动态运行情况。通过以上一系列的初步分析,可了解木马发送数据的方式,完全理解木马的数据发送和接受行为所使用的协议。确定目标木马上传和下载文件操作的网络特征。而后,在待监测的网络中设置入侵检测***,入侵检测***与数据进出的数据出口和入口(简称数据出、入口)连接,可接收数据出口和入口发来的数据。在确定需要监测的目的IP地址后,数据出口根据需监测的目的IP地址对数据进行过滤,将符合监测范围要求的目的IP地址的数据发送给入侵检测***。入侵检测***再通过设置的过滤器对数据出口发来的数据进行过滤,以所确定的木马上传和下载文件操作的网络特征作为过滤参数来过滤数据,将对包含该相应特征的数据过滤出来,并复制其包含的木马命令和对应的文件内容,并将木马命令及文件内容存储入到***的数据库中。通过读取数据库中的该相应数据,就可了解木马所进行的操作,及操作所对应的具体文件内容,从而实现对木马行为的监控。对于通过木马所进行的行为,详尽记录所有行为的细节,工作人员可随时查询和调阅,从而了解危害的情况。并且通过增设拦截装置,还能及时避免危害的发生。
Claims (1)
1.一种木马行为还原方法,其特征在于:包括如下步骤:
A.获取木马样本,模拟运行该木马程序,通过监测该木马运行,获取木马上传和下载文件操作的网络特征;
B.在网络中设置入侵检测***,入侵检测***与数据出、入口连接,可接收数据出、入口发来的数据;
C.数据出、入口设置过滤器,过滤器可根据目的IP地址对数据进行筛选过滤,将符合监测范围要求的目的IP地址的数据发送给入侵检测***;
D.入侵检测***同样设置过滤器,该过滤器对数据出、入口发来的数据再次进行过滤,以木马上传和下载文件操作的网络特征为过滤参数,将包含有木马上传和下载文件操作相对应的网络特征的数据过滤出来,复制该数据所包含的木马命令和所针对的文件内容,并将复制的木马命令及文件内容存储入到入侵检测***的数据库中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510504639.8A CN105117647A (zh) | 2015-08-18 | 2015-08-18 | 一种木马行为还原方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510504639.8A CN105117647A (zh) | 2015-08-18 | 2015-08-18 | 一种木马行为还原方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105117647A true CN105117647A (zh) | 2015-12-02 |
Family
ID=54665632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510504639.8A Pending CN105117647A (zh) | 2015-08-18 | 2015-08-18 | 一种木马行为还原方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105117647A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
US20110083176A1 (en) * | 2009-10-01 | 2011-04-07 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计***技术(北京)有限公司 | 木马监控审计方法及*** |
CN103139169A (zh) * | 2011-11-30 | 2013-06-05 | 西门子公司 | 基于网络行为的病毒检测***和方法 |
-
2015
- 2015-08-18 CN CN201510504639.8A patent/CN105117647A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
US20110083176A1 (en) * | 2009-10-01 | 2011-04-07 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计***技术(北京)有限公司 | 木马监控审计方法及*** |
CN103139169A (zh) * | 2011-11-30 | 2013-06-05 | 西门子公司 | 基于网络行为的病毒检测***和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10795855B1 (en) | Method and apparatus for continuous compliance assessment | |
US9026646B2 (en) | Methods and apparatus for remediating policy test failures, including correlating changes to remediation processes | |
Stirland et al. | Developing cyber forensics for SCADA industrial control systems | |
US9547579B1 (en) | Method and apparatus for automatically detecting defects | |
CN112906010B (zh) | 一种自动化攻击测试方法及基于此的自动化安全测试方法 | |
US10122738B2 (en) | Botnet detection system and method | |
CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
CN112906011B (zh) | 漏洞发现方法、测试方法、安全测试方法及相关装置、平台 | |
CN104376023A (zh) | 一种基于日志的审计方法及*** | |
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN104794399A (zh) | 一种基于海量程序行为数据的终端防护***及方法 | |
CN108234480B (zh) | 入侵检测方法及装置 | |
US11971994B2 (en) | End-point visibility | |
CN108566392B (zh) | 基于机器学习的防御cc攻击***与方法 | |
CN112511387A (zh) | 基于多源信息分析的网络攻击监测*** | |
CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
Chan et al. | Forensic analysis of a Siemens programmable logic controller | |
Binnar et al. | Cyber forensic case study of waste water treatment plant | |
Cook et al. | Introducing a forensics data type taxonomy of acquirable artefacts from programmable logic controllers | |
CN105117647A (zh) | 一种木马行为还原方法 | |
CN106899977B (zh) | 异常流量检验方法和装置 | |
CN104376254A (zh) | 一种日志审计方法及*** | |
CN106790280B (zh) | 网络攻击的应急排查方法及装置 | |
Zhou et al. | LogPruner: detect, analyze and prune logging calls in Android apps | |
CN113259396A (zh) | 一种S7comm协议的异常检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151202 |
|
RJ01 | Rejection of invention patent application after publication |