2. 专利技术
  3. 处理木马病毒的方法、系统、存储介质以及电子设备与流程

处理木马病毒的方法、系统、存储介质以及电子设备与流程

专利2023-07-07  95


1.本技术涉及木马处理领域,具体而言,涉及一种处理木马病毒的方法、系统、存储介质以及电子设备。


背景技术:

2.在通信网络中,网络攻击无处不在,网络攻击的一个主要形式就是木马植入。随着互联网大潮的进一步推进,智能家居的发展,越来越多的设备面临木马的威胁,这也对木马的清理提出了新的要求。其中一种主要的木马是脚本型木马,其是使用脚本文件进行控制和动作的一种木马,可以隐蔽地进行信息窃取等动作。针对脚本型木马的清理,是衡量网络安全的一个重要指标。
3.目前脚本型木马的清理方式,不仅处理时间长、人力支出高,而且有被重复植入木马的风险。
4.针对上述的问题,目前尚未提出有效的解决方案。


技术实现要素:

5.本技术实施例提供了一种处理木马病毒的方法、系统、存储介质以及电子设备,以至少解决由于相关技术中需要处理人员逐个到受控端进行木马清理,使得木马清理工作处理时间长,人力投入大,且在处理过程中无法快速完成系统加固,存在被重复植入木马的技术问题。
6.根据本技术实施例的一个方面,提供了一种处理木马病毒的方法,包括:检测受控端设备发出的第一流量数据;在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据,并确定第一流量数据所请求的第一脚本数据类型,其中,第一脚本数据类型对应的第一脚本用于控制受控端设备执行第一任务,第一任务包括:在受控端执行木马端设备的木马程序;根据第一脚本数据类型确定第二脚本,下发第二脚本至目标设备,其中,第二脚本用于控制受控端设备执行第二任务,其中,第二任务包括:清理目标设备中的第一脚本类型对应的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固。
7.可选地,在下发第二脚本至目标设备之后,其方法还包括:确定目标设备结束执行第二脚本的目标时刻;以目标时刻为起始时刻,检测在预定时段内受控端设备发出的所有第二流量数据,检测所有第二流量数据所请求的脚本数据类型是否包括第一脚本数据类型,在所有第二流量数据所请求的脚本数据类型不包括第一脚本数据类型的情况下,确定目标设备中第一脚本清理成功。
8.可选地,在所有第二流量数据所请求的脚本数据类型包括第一脚本数据类型的情况下,确定目标设备中第一脚本清理失败,重新下发第二脚本至目标设备。
9.可选地,在下发第二脚本至目标设备之后,方法还包括:确定目标设备结束执行第二脚本的目标时刻;以目标时刻为起始时刻,获取在预定时段内受控端设备的下载记录,在下载记录中存在向木马端设备下载任务数据的情况下,根据任务数据更新第二脚本得到第
三脚本,下发第三脚本至目标设备。
10.可选地,根据任务数据更新第二脚本得到第三脚本,其方法包括:根据任务数据生成提示信息,其中,提示信息用于向目标对象提示受控端设备存在修复漏洞;接收目标对象针对提示信息输入的操作指令,根据操作指令生成第三脚本,其中,第三脚本用于控制受控端设备执行第三任务,其中,第三任务包括:清理目标设备中任务数据对应的任务脚本,以及针对任务脚本对应的漏洞对受控设备进行系统加固。
11.可选地,拦截第一流量数据,包括:选择至少一种路由类型为受控端设备对应的目标路由设备的目标路由类型;确定目标路由设备的网络状态处于目标状态,拦截第一流量数据至预定位置。
12.可选地,路由类型包括:直连路由、静态路由以及动态路由。
13.根据本技术实施例的另一方面,还提供了一种处理木马病毒的系统,该系统包括:流量劫持模块,用于检测受控端设备发出的第一流量数据;在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据;脚本下发模块,用于确定第一流量数据所请求的第一脚本数据类型,根据第一脚本数据类型确定待下发至目标设备的第二脚本,下发第二脚本至目标设备,其中,第一脚本数据类型对应的第一脚本用于控制受控端设备执行第一任务,其中,第一任务包括:在受控端执行木马端设备的木马程序,第二脚本用于控制受控端设备执行第二任务,其中,第二任务包括:清理目标设备中的第一脚本类型对应的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固。
14.根据本技术实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一种处理木马病毒的方法。
15.根据本技术实施例的另一方面,还提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现上述任意一种处理木马病毒的方法。
16.在本技术实施例中,采用流量劫持及自动下发机制清理脚本型木马的方式,通过在可控网络中进行明细路由发布的模式,劫持受控端发往木马控制端/脚本库的流量,并导引至脚本下发模块进行清理脚本下发,利用木马自执行的机制实现木马自毁和系统加固工作,在实现脚本型木马自毁的同时,还可对受损系统进行加固,达到了大大缩短清洗木马及系统修复加固的时间,且可连续多次执行,有效降低了被重复植入木马的概率的目的,从而实现了直接远程解决木马病毒的技术效果,进而解决了由于相关技术中需要处理人员逐个到受控端进行木马清理,使得木马清理工作处理时间长,人力投入大,且在处理过程中无法快速完成系统加固,存在被重复植入木马的技术问题。
附图说明
17.此处所说明的附图用来提供对本技术的进一步理解,构成本技术的一部分,本技术的示意性实施例及其说明用于解释本技术,并不构成对本技术的不当限定。在附图中:
18.图1是根据本技术实施例的一种可选的处理木马病毒的方法的流程示意图;
19.图2是根据本技术实施例的一种处理木马病毒的系统;
20.图3是本技术一种可选的场景示意图;
21.图4是本技术一种可选的实现上述处理木马病毒的系统架构示意图;
22.图5是本技术实施例中一可选的脚本型木马的代码示例图;
23.图6是根据本技术实施例的一种可选的实例中控制脚本start.sh和while.sh示例图;
24.图7是根据本技术实施例的一种可选的利用流量劫持及自动下发机制清理脚本型木马的方法示意图;
25.图8是根据本技术实施例的一种可选的实例中经过处理的控制脚本start.sh示例图;
26.图9是根据本技术实施例的一种可选的实例中清理情况统计分析示例图;
27.图10是根据本技术实施例的一种可选的电子设备示意性框图。
具体实施方式
28.为了使本技术领域的人员更好地理解本技术方案,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分的实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本技术保护的范围。
29.需要说明的是,本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
30.为了便于本领域技术人员更好的理解本技术相关实施例,现将本技术实施例中可能涉及的技术术语或者部分名词解释如下:
31.直连路由是由链路层协议发现的,一般指去往路由器的接口地址所在网段的路径,直连路由无需手工配置,只要接口配置了网络协议地址同时管理状态、物理状态和链路协议均为up时,路由器能够自动感知该链路存在,接口上配置的ip网段地址会自动出现在路由表中且与接口关联,并动态随接口状态变化在路由表中自动出现或消失。
32.静态路由是由网络管理员根据网络拓扑,使用命令在路由器上配置的路由,这些静态路由信息指导报文发送,静态路由方式也无需路由器进行计算,但它完全依赖于网络管理员的手动配置。其中,默认路由是一种特殊的静态路由,网络管理管理员手工配置了默认路由后,当路由表中与目的地址之间没有匹配的表项时路由器将把数据包发送给默认网关。
33.动态路由是指路由器能够自动地建立自己的路由表,且能根据网络拓扑状态变化进行动态调整。动态路由机制依赖于对路由表的维护以及路由器间动态的路由信息交换。路由器间的路由信息交换是基于路由协议实现的,交换路由信息的最终目的是通过路由表找到“最佳”路由。
34.ac全称为access controller,意思是接入控制器,其作用是:一个加强允许或者拒绝用户访问网络资源的控制方法,通常基于用户的帐户或者用户所属的某个组。
35.bras全称为broadband remote access server,意思是宽带远程接入服务器,其作用是:在数字用户线接入复用设备(dslam)在一个互联网服务提供商(isp)的网络中。
36.sw全称为switch,意思是交换机,其作用是:是一个扩大网络的器材,能为子网络中提供更多的连接端口,以便连接更多的计算机。
37.sr全称为service router,意思是全业务路由器,其sr作用是:业务路由器是可扩展升级的internet路由器,可以提供尽力而为的internet业务,使传统的数据业务的迁移成为可能。
38.cr全称为core router,意思是核心路由器,其作用是:核心路由器又称“骨干路由器”,是位于网络中心的路由器。位于网络边缘的路由器叫接入路由器。
39.根据本技术实施例,提供了一种处理木马病毒的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
40.图1是根据本技术实施例的处理木马病毒的方法,如图1所示,该方法包括如下步骤:
41.步骤s102,检测受控端设备发出的第一流量数据;
42.在本技术步骤s102的技术方案中,可检测受控端设备发出的第一流量数据,进而用于判断受控端设备是否被木马端设备控制执行非法任务。
43.可选的,可实时检测受控端设备发出的第一流量数据,也可以每间隔预设时长对受控端发出的第一流量数据进行检测。
44.需要说明的是,上述受控端设备包括但不限于:移动终端,手持设备,可穿戴设备以及计算机设备等。
45.步骤s104,在确定所述第一流量数据为发送至木马端设备的流量的情况下,拦截所述第一流量数据,并确定所述第一流量数据所请求的第一脚本数据类型,其中,所述第一脚本数据类型对应的第一脚本用于控制所述受控端设备执行第一任务,所述第一任务包括:在受控端执行所述木马端设备的木马程序;
46.在本技术步骤s104的技术方案中,可在确定第一流量数据为发送至木马端设备的情况,对该流量数据进行劫持。
47.可选的,可将上述第一流量数据劫持至预定存储位置中,例如,劫持到系统的流量劫持模块中。需要说明的是,上述木马端设备包括但不限于:木马控制端以及木马脚本库所在的设备。
48.步骤s106,根据所述第一脚本数据类型确定第二脚本,下发所述第二脚本至所述目标设备,其中,所述第二脚本用于控制所述受控端设备执行第二任务,其中,所述第二任务包括:清理所述目标设备中的所述第一脚本类型对应的第一脚本,以及针对所述第一脚本对应的漏洞对所述受控设备进行系统加固。
49.在本技术步骤s106的技术方案中,可对拦截到的第一脚本数据类型进行更改,重新向受控端设备下发新的任务,进而避免受控端受木马端设备影响,执行非法脚本以及程
序等。
50.可选地,上述脚本下发过程中,可由系统中的脚本下发模块完成,需要说明是,脚本下发模块是与流量劫持模块相互独立的另一数据处理模块。需要说明的是,上述系统加固可以为在受控端设备植入新的脚本文件或者下载安装新的功能组件等,以用于提高受控端设备的安全防护等级。
51.该处理木马病毒的方法中,首先,可检测受控端设备发出的第一流量数据,并在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据,并确定第一流量数据所请求的第一脚本数据类型,其中,第一脚本数据类型对应的第一脚本用于控制受控端设备执行第一任务,第一任务包括:执行木马端设备的木马程序;最后,根据第一脚本数据类型确定第二脚本,下发第二脚本至目标设备,其中,第二脚本用于控制受控端设备执行第二任务,其中,第二任务包括:清理目标设备中的第一脚本类型对应的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固,达到了大大缩短清洗木马及系统修复加固的时间,且可连续多次执行,有效降低了被重复植入木马的概率的目的,从而实现了直接远程解决木马病毒的技术效果,进而解决了由于相关技术中需要处理人员逐个到受控端进行木马清理,使得木马清理工作处理时间长,人力投入大,且在处理过程中无法快速完成系统加固,存在被重复植入木马的技术问题。
52.本技术一些可选的实施例中,在下发第二脚本至目标设备之后,可确定目标设备结束执行第二脚本的目标时刻;以目标时刻为起始时刻,检测在预定时段内受控端设备发出的所有第二流量数据,检测所有第二流量数据所请求的脚本数据类型是否包括第一脚本数据类型,在所有第二流量数据所请求的脚本数据类型不包括第一脚本数据类型的情况下,确定目标设备中第一脚本清理成功。即,通过检测受控端是否还存在向木马端设备发送与第一流量数据所请求数据相同的流量,进而判断受控端的木马脚本以及程序是否被成功清楚。
53.容易注意到的是,在预定时段内若有至少一个第二流量数据所请求的脚本数据类型包括第一脚本数据类型的情况下,则可确定目标设备中第一脚本清理失败,并可重新下发第二脚本至目标设备。
54.由于受控端设备的木马脚本等往往是间隔一定时长触发的,即间隔一定时长便需要向木马端设备请求最新的任务,因此,在本技术一些实施例中,在下发第二脚本至目标设备之后,还可确定目标设备结束执行第二脚本的目标时刻;以目标时刻为起始时刻,获取在预定时段内受控端设备的下载记录,在下载记录中存在向木马端设备下载任务数据的情况下,根据任务数据更新第二脚本得到第三脚本,下发第三脚本至目标设备。即,检测在预定时段内,受控端设备是否存在向木马端设备下载数据的情况,如存在相关的下载记录,则说明受控端设备存在木马脚本,因此,可以根据从木马端设备下载的任务数据做出针对性的修复。
55.作为一种可选的实施方式,根据任务数据更新第二脚本得到第三脚本,可通过如下方式实现,具体的,可根据任务数据生成提示信息,其中,提示信息用于向目标对象提示受控端设备存在修复漏洞;接收目标对象针对提示信息输入的操作指令,根据操作指令生成第三脚本,其中,第三脚本用于控制受控端设备执行第三任务,其中,第三任务包括:清理目标设备中任务数据对应的任务脚本,以及针对任务脚本对应的漏洞对受控设备进行系统
加固。即,可接收用户的操作指令,根据用户的操作指令得到用于修复漏洞的第三脚本。
56.本技术一些可选的实施例中,拦截第一流量数据,可通过如下方式实现,具体的,可选择至少一种路由类型为受控端设备对应的目标路由设备的目标路由类型;确定目标路由设备的网络状态处于目标状态,拦截第一流量数据至预定位置。需要说明的是,路由类型包括:直连路由、静态路由以及动态路由,上述预定位置可以为流量劫持模块中的存储位置。可以理解的,之所以从多种路由类型至少一种路由类型,是因为不同的路由类型,网络的通信质量可能不同,因此,从多种路由类型至少一种较合适的路由类型,可确保受控端的第一流量数据尽可能被全部拦截到预定位置,而不会遗漏部分流量数据。
57.需要说明是,上述目标状态可以根据当前的拦截成功率与预设拦截成功率确定,例如,预设拦截成功率为90%,而检测到受控制设备发出的第一流量数据为10m,而可以拦截到流量数据为9.1m,因此,可认为当前的拦截成功率为91%,由于当前的拦截成功率大于预设拦截成功率则可认为路由设备的网络状态处于目标状态。
58.容易注意到的是,通过上述方法可劫持受控端发往木马控制端/脚本库的流量,并导引至脚本下发模块进行清理脚本下发,并利用木马自执行的机制实现木马自毁和系统加固工作,从而使处理人员可以直接远程、批量、快速地完成木马的清理和系统加固工作,以更便捷地方式清理脚本型木马和加固系统的技术效果。
59.图2是根据本技术实施例的一种处理木马病毒的系统,如图2所示,该系统包括:
60.流量劫持模块40,用于检测受控端设备发出的第一流量数据;在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据;
61.脚本下发模块42,用于确定第一流量数据所请求的第一脚本数据类型,根据第一脚本数据类型确定待下发至目标设备的第二脚本,下发第二脚本至目标设备,其中,第一脚本数据类型对应的第一脚本用于控制受控端设备执行第一任务,其中,第一任务包括:在所述受控端执行木马端设备的木马程序,第二脚本用于控制受控端设备执行第二任务,其中,第二任务包括:清理目标设备中的第一脚本类型对应的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固。
62.该处理木马病毒的系统,可以实现在可控网络中进行明细路由发布的模式,劫持受控端发往木马控制端/脚本库的流量,并导引至脚本下发模块进行清理脚本下发,利用木马自执行的机制实现木马自毁和系统加固工作,从而使处理人员可以直接远程、批量、快速地完成木马的清理和系统加固工作,以更便捷地方式清理脚本型木马和加固系统的技术效果。
63.图3是本技术一种可选的场景示意图,如图3所示,木马服务器,可通过互联网下发木马文件至用户侧设备(即受控端设备),而服务器(即图中的主要服务器)可对木马文件进行劫持,并模拟木马服务器下发修复文件给用户侧设备,以用于对用户侧设备的木马文件进行清理。
64.需要说明的是,上述处理木马文件的服务器可包括:流量劫持模块、脚本下发模块和统计分析模块,其中,流量劫持模块根据需求将可控网内对指定ip的流量劫持至脚本下发模块;脚本下发模块用于提供受控端自动下载清理及系统加固脚本,脚本型木马受控端在下载木马控制文件时,被流量劫持模块劫持至脚本下发模块,脚本下发模块根据木马文件监控模块对黑客木马服务器文件的监控、漏洞修复监控模块的监控情况,提供清理及系
统加固脚本代替木马控制文件下发给受控端,受控端木马自执行机制使清理及系统加固脚本自动执行生效,完成木马自毁和系统加固工作。
65.进一步,流量劫持模块还可以根据脚本详情,针对在可控网内指定ip,通过使用静态路由、动态路由、直接连接等方式,保证被清洗装置的路由在可控网络内处于最优状态的方式,将流量劫持至脚本下发模块下。
66.图4是本技术一种可选的实现上述处理木马病毒的系统架构示意图,如图4所示,该架构主要包括服务对象,接入层以及系统功能层三个层级,系统功能层,可用于实现木马文件监控,漏洞修复监控、下载监控管理,以及统计分析等功能,其中,木马文件监控,可用于监控木马服务器的木马文件,与本地保存的木马文件进行比对,当发现所截获的木马文件有变更时,该监控模块将通知管理员及时更新下发脚本中的修复内容;脚本下发模块:用于通过可达网络提供受控端自动下载清理及系统加固脚本。漏洞修复监控可用于对于已经修复的受控端进行监控,如果存在下载文件的记录被认为未修复漏洞,通知管理员再次修复漏洞;下载监控管理可以http等形式(端口可自定义且可同时运行多个)提供页面和下载方式,并对下载的ip、时间等进行记录及统计。统计分析包括但不限于:劫持统计、清理统计、下载量统计等。
67.现结合一具体实施例对上述技术方案进行进一步举例介绍。
68.在该实施例中,黑客植入了一个命名为sh.sh的脚本型木马,并配置了自启动和循环机制,图5是该实施例中脚本型木马的代码示例图,如图5所示,该木马定义了一种控制脚本(start.sh和while.sh)下载及自动执行的动作。
69.图6是该实施例的一种可选的控制脚本start.sh和while.sh示例图,图6实例中的start.sh脚本,目的是重定向链接到指定链接,上报终端的mac地址给服务器,用于统计终端数量。while.sh脚本,目的是删除管理通道,并关闭telnet端口(drop tcp 23端口的报文)。
70.图7是该实施例的一种可选的利用流量劫持及自动下发机制清理脚本型木马的方法示意图,如图7所示,流量劫持模块和脚本下发装置从可控网络中通过使用静态路由、动态路由、直接连接等方式,保证被清理装置的路由在可控网络内处于最优状态,以劫持原本通往黑客服务器的流量并完成清理及加固脚本的下发,其中,流量劫持模块将原本通往黑客服务器的流量(虚线所示)劫持至流量劫持模块,转发给脚本下发装置(实线所示)。受控端通过脚本下发装置下载经处理后的start.sh脚本和while.sh脚本,脚本内含清理脚本型木马的自毁指令及修复网络的加固指令,该实例中脚本如图8所示。
71.该实施例中,统计分析模块可从以下三个方面进行分析,包括:感染量,通过对脚本下发装置进行访问统计,得出受控端情况。清洗量,对统计进行分析,判断受控端清理情况。清洗效果及判断:根据受控端清理情况,提供是否继续进行流量劫持的判别条件。当连续3天,下载量均为0时,停止劫持,图9是该实施例中清理情况统计分析示意图,如图9所示,为被攻击终端ip的地址数量统计趋势图,从图9可知,随着对木马文件的不断清理,被攻击终端ip地址的数量在不同减小。
72.根据本技术实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一种处理木马病毒的方法。
73.具体地,上述存储介质用于存储以下功能的程序指令,实现以下功能:
74.检测受控端设备发出的第一流量数据;在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据,并确定第一流量数据所请求的第一脚本数据类型,其中,第一脚本数据类型对应的第一脚本用于控制受控端设备执行第一任务,第一任务包括:执行木马端设备的木马程序;根据第一脚本数据类型确定第二脚本,下发第二脚本至目标设备,其中,第二脚本用于控制受控端设备执行第二任务,其中,第二任务包括:清理目标设备中的第一脚本类型对应的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固。
75.可选地,在本实施例中,上述存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。上述存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
76.在本技术一示例性实施例中,还提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现上述任一项的处理木马病毒的方法。
77.可选地,该计算机程序在被处理器执行时可实现如下步骤:
78.检测受控端设备发出的第一流量数据;在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据,并确定第一流量数据所请求的第一脚本数据类型,其中,第一脚本数据类型对应的第一脚本用于控制受控端设备执行第一任务,第一任务包括:执行木马端设备的木马程序;根据第一脚本数据类型确定第二脚本,下发第二脚本至目标设备,其中,第二脚本用于控制受控端设备执行第二任务,其中,第二任务包括:清理目标设备中的第一脚本类型对应的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固。
79.根据本技术的实施例提供了一种电子设备,该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述任一项的处理木马病毒的方法。
80.可选地,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入设备输出设备和上述处理器连接。
81.图10示出了可以用来实施本技术的实施例的示例电子设备800的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本技术的实现。
82.如图10所示,设备800包括计算单元801,其可以根据存储在只读存储器(rom)802中的计算机程序或者从存储单元808加载到随机访问存储器(ram)803中的计算机程序,来执行各种适当的动作和处理。在ram 803中,还可存储设备800操作所需的各种程序和数据。计算单元801、rom 802以及ram 803通过总线804彼此相连。输入/输出(i/o)接口805也连接
至总线804。
83.设备800中的多个部件连接至i/o接口805,包括:输入单元806,例如键盘、鼠标等;输出单元807,例如各种类型的显示器、扬声器等;存储单元808,例如磁盘、光盘等;以及通信单元809,例如网卡、调制解调器、无线通信收发机等。通信单元809允许设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
84.计算单元801可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元801的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上文所描述的各个方法和处理,例如处理木马病毒的方法。例如,在一些实施例中,处理木马病毒的方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元808。在一些实施例中,计算机程序的部分或者全部可以经由rom 802和/或通信单元809而被载入和/或安装到设备800上。当计算机程序加载到ram 803并由计算单元801执行时,可以执行上文描述的处理木马病毒的方法的一个或多个步骤。备选地,在其他实施例中,计算单元801可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行处理木马病毒的方法。
85.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
86.用于实施本技术的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
87.在本技术的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
88.为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,crt(阴极射线管)或者lcd(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来
将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
89.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(lan)、广域网(wan)和互联网。
90.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
91.上述本技术实施例序号仅仅为了描述,不代表实施例的优劣。
92.在本技术的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
93.在本技术所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
94.作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
95.另外,在本技术各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
96.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
97.以上仅是本技术的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本技术原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本技术的保护范围。

技术特征:
1.一种处理木马病毒的方法,其特征在于,包括:检测受控端设备发出的第一流量数据;在确定所述第一流量数据为发送至木马端设备的流量的情况下,拦截所述第一流量数据,并确定所述第一流量数据所请求的第一脚本数据类型,其中,所述第一脚本数据类型对应的第一脚本用于控制所述受控端设备执行第一任务,所述第一任务包括:在所述受控端执行所述木马端设备的木马程序;根据所述第一脚本数据类型确定第二脚本,下发所述第二脚本至所述目标设备,其中,所述第二脚本用于控制所述受控端设备执行第二任务,其中,所述第二任务包括:清理所述目标设备中的所述第一脚本类型对应的第一脚本,以及针对所述第一脚本对应的漏洞对所述受控设备进行系统加固。2.根据权利要求1所述的方法,其特征在于,在下发所述第二脚本至所述目标设备之后,所述方法还包括:确定所述目标设备结束执行所述第二脚本的目标时刻;以所述目标时刻为起始时刻,检测在预定时段内所述受控端设备发出的所有第二流量数据,检测所述所有第二流量数据所请求的脚本数据类型是否包括所述第一脚本数据类型,在所述所有第二流量数据所请求的脚本数据类型不包括所述第一脚本数据类型的情况下,确定所述目标设备中所述第一脚本清理成功。3.根据权利要求2所述的方法,其特征在于,在所述所有第二流量数据所请求的脚本数据类型包括所述第一脚本数据类型的情况下,确定所述目标设备中所述第一脚本清理失败,重新下发所述第二脚本至所述目标设备。4.根据权利要求1所述的方法,其特征在于,在下发所述第二脚本至所述目标设备之后,所述方法还包括:确定所述目标设备结束执行所述第二脚本的目标时刻;以所述目标时刻为起始时刻,获取在预定时段内所述受控端设备的下载记录,在所述下载记录中存在向所述木马端设备下载任务数据的情况下,根据所述任务数据更新所述第二脚本得到第三脚本,下发所述第三脚本至所述目标设备。5.根据权利要求2所述的方法,其特征在于,根据所述任务数据更新所述第二脚本得到第三脚本,包括:根据所述任务数据生成提示信息,其中,所述提示信息用于向目标对象提示所述受控端设备存在修复漏洞;接收所述目标对象针对所述提示信息输入的操作指令,根据所述操作指令生成所述第三脚本,其中,所述第三脚本用于控制所述受控端设备执行第三任务,其中,所述第三任务包括:清理所述目标设备中所述任务数据对应的任务脚本,以及针对所述任务脚本对应的漏洞对所述受控设备进行系统加固。6.根据权利要求1所述的方法,其特征在于,拦截所述第一流量数据,包括:选择至少一种路由类型为所述受控端设备对应的目标路由设备的目标路由类型;确定所述目标路由设备的网络状态处于目标状态,拦截所述第一流量数据至预定位置。7.根据权利要求6所述的方法,其特征在于,所述路由类型包括:直连路由、静态路由以
及动态路由。8.一种处理木马病毒的系统,其特征在于,包括:流量劫持模块,用于检测受控端设备发出的第一流量数据;在确定所述第一流量数据为发送至木马端设备的流量的情况下,拦截所述第一流量数据;脚本下发模块,用于确定所述第一流量数据所请求的第一脚本数据类型,根据所述第一脚本数据类型确定待下发至所述目标设备的第二脚本,下发所述第二脚本至所述目标设备,其中,所述第一脚本数据类型对应的第一脚本用于控制所述受控端设备执行第一任务,其中,所述第一任务包括:在受控端执行所述木马端设备的木马程序,所述第二脚本用于控制所述受控端设备执行第二任务,其中,所述第二任务包括:清理所述目标设备中的所述第一脚本类型对应的第一脚本,以及针对所述第一脚本对应的漏洞对所述受控设备进行系统加固。9.一种非易失性存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至权利要求7中任意一项所述的处理木马病毒的方法。10.一种电子设备,其特征在于,包括:处理器;用于存储所述处理器可执行指令的存储器;其中,所述处理器被配置为执行所述指令,以实现如权利要求1至7中任一项所述的处理木马病毒的方法。

技术总结
本申请公开了一种处理木马病毒的方法、系统、存储介质以及电子设备。其中,该方法包括:检测受控端设备发出的第一流量数据;在确定第一流量数据为发送至木马端设备的流量的情况下,拦截第一流量数据,并确定第一流量数据所请求的第一脚本数据类型;根据第一脚本数据类型确定第二脚本,下发第二脚本至目标设备,其中,第二脚本用于控制受控端设备执行第二任务,第二任务包括:清理目标设备中的第一脚本,以及针对第一脚本对应的漏洞对受控设备进行系统加固。本申请解决了由于相关技术中需要处理人员逐个到受控端进行木马清理,使得木马清理工作处理时间长,人力投入大,且在处理过程中无法快速完成系统加固,存在被重复植入木马的技术问题。的技术问题。的技术问题。


技术研发人员:张特伟 赵烽 王炜
受保护的技术使用者:中国电信股份有限公司
技术研发日:2022.06.22
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-3751.html

专利

最新回复(0)