2. 专利查询
  3. 一种劫持系统预加载配置的病毒检测方法及装置与流程

一种劫持系统预加载配置的病毒检测方法及装置与流程

专利查询1月前  27


1.本发明涉及网络安全技术领域,尤其是一种劫持系统预加载配置的病毒检测方法及装置。


背景技术:

2.rootkit木马病毒是现在最流行的木马病毒之一。它在隐藏文件、端口、进程,清除痕迹上优秀的表现被黑客、病毒广泛使用。
3.rootkit木马主要有两个大类,一个是内核态的,一个是用户态的。内核态的rootkit木马的检测方法被广泛关注,但是基于用户态的rootkit木马的检测与防护未得到重视,严重威胁用户的安全。


技术实现要素:

4.本发明提供了一种劫持系统预加载配置的病毒检测方法及装置,用于解决rootkit木马威胁用户安全的问题。
5.为实现上述目的,本发明采用下述技术方案:
6.本发明第一方面提供了一种劫持系统预加载配置的病毒检测方法,所述方法包括以下步骤:
7.检测系统预加载配置信息的实时数据;
8.将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;
9.若发生变化且获取不到所述实时数据的具体值,则系统预加载配置受到劫持。
10.进一步地,所述检测方法中检测的病毒为rootkit。
11.进一步地,检测的系统与加载配置信息包括环境变量和/或配置文件的哈希值。
12.进一步地,所述系统预加载配置受到劫持之后,还包括以下步骤:
13.将系统预加载配置信息修改为记录的初始值。
14.进一步地,所述系统预加载配置受到劫持之后,还包括以下步骤;
15.计算系统预加载配置文件的哈希值,下发到全网。
16.进一步地,所述配置信息为环境变量时,将环境变量的实时数据与预设的环境变量的初始值进行比较,若两者不一致,则认为系统预加载配置受到劫持。
17.进一步地,所述配置信息为配置文件时,获取当前配置文件的更新值,若无法获取,则认为系统预加载配置受到劫持。
18.本发明第二方面提供了一种劫持系统预加载配置的病毒检测装置,所述装置包括:
19.信息采集单元,用于检测系统预加载配置信息的实时数据;
20.信息处理单元,用于将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;
21.检测判定单元,若发生变化且获取不到所述实时数据的具体值,则系统预加载配
置受到劫持。
22.进一步地,所述装置还包括第一劫持处理单元,所述第一劫持处理单元用于将系统预加载配置信息修改为记录的初始值。
23.进一步地,所述装置还包括第二劫持处理单元,所述第二劫持处理单元用于计算系统预加载配置文件的哈希值,下发到全网。
24.本发明第二方面的所述病毒检测装置能够实现第一方面及第一方面的各实现方式中的方法,并取得相同的效果。
25.发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
26.本发明通过检测系统预加载配置信息的实时数据,并与初始值比较,在配置信息发生更新时,进一步获取更新后的具体数据,若环境变量发生变化或无法获取到配置文件的具体值,则检测到系统预加载配置受到了劫持。能够准确、快速的检测到病毒威胁,保证用户安全。另外本发明在检测到病毒后,将相应的配置信息修改为初始值,并将劫持文件的哈希值广播至全网,进行拦截,保证全网用户免受病毒威胁。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
28.图1是本发明所述方法实施例的流程示意图;
29.图2是本发明所述装置实施例的结构示意图。
具体实施方式
30.为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
31.如图1所示,本发明实施例提供了一种劫持系统预加载配置的病毒检测方法,所述方法包括以下步骤:
32.s1,检测系统预加载配置信息的实时数据;
33.s2,将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;
34.s3,若发生变化且获取不到所述实时数据的具体值,则系统预加载配置受到劫持。
35.所述检测方法中检测的病毒为rootkit。rootkit为一组在恶意软件中获得root访问权限、完全控制目标操作系统和其底层硬件的技术编码。通过这种控制,恶意软件能够在系统中隐藏其存在,并进行恶意操作,严重威胁用户的信息及财产安全。
36.步骤s1中,检测的系统与加载配置信息包括环境变量ld_preload和/或配置文件/etc/ld.so.preload的哈希值。
37.步骤s2和步骤s3中,若所述配置信息为环境变量时,将环境变量的实时数据与预设的环境变量的初始值进行比较,若两者不一致,则认为系统预加载配置受到劫持。
38.步骤s2和步骤s3中,若所述配置信息为配置文件时,获取当前配置文件的更新值,若无法获取,则认为系统预加载配置受到劫持。
39.获取配置文件的命令为cat命令、ls命令或vim命令。配置文件一般是一个so文件,如/lib/sublinux.so。如果出现无法查看的情况则说明是rootkit病毒引起,否则不是,若不是rootkit,便更新初始值。
40.本发明实施例的其一实现方式中,所述系统预加载配置受到劫持之后,还包括以下步骤:
41.将系统预加载配置信息修改为记录的初始值。
42.本发明实施例的其一实现方式中,所述系统预加载配置受到劫持之后,还包括以下步骤;
43.计算系统预加载配置文件的哈希值,下发到全网。对于环境变量被劫持的情况,则全网下发源程序,使其他设备上禁止运行该源程序。
44.如图2所述,本发明实施例还提供了一种劫持系统预加载配置的病毒检测装置,所述装置包括信息采集单元1、信息处理单元2和检测判定单元3。
45.信息采集单元1用于检测系统预加载配置信息的实时数据;信息处理单元2用于将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;检测判定单元3若发生变化且获取不到所述实时数据的具体值,则系统预加载配置受到劫持。
46.信息采集单元1检测的实时数据包括环境变量ld_preload和/或配置文件/etc/ld.so.preload的哈希值。
47.信息处理单元2的初始值预先存储在缓存中。
48.若所述配置信息为环境变量时,将环境变量的实时数据与预设的环境变量的初始值进行比较,若两者不一致,则认为系统预加载配置受到劫持。
49.若所述配置信息为配置文件时,获取当前配置文件的更新值,若无法获取,则认为系统预加载配置受到劫持。
50.获取配置文件的命令为cat命令、ls命令或vim命令。配置文件一般是一个so文件,如/lib/sublinux.so。如果出现无法查看的情况则说明是rootkit病毒引起,否则不是,若不是rootkit,便更新初始值。
51.本发明实施例的其一实现方式中,所述装置还包括第一劫持处理单元4,所述第一劫持处理单元4用于将系统预加载配置信息修改为记录的初始值。
52.本发明实施例的另一实现方式中,所述装置还包括第二劫持处理单元5,所述第二劫持处理单元5用于计算系统预加载配置文件的哈希值,下发到全网。进行拦截,保证全网用户免受病毒威胁。
53.上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

技术特征:
1.一种劫持系统预加载配置的病毒检测方法,其特征是,所述方法包括以下步骤:检测系统预加载配置信息的实时数据;将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;若发生变化且获取不到所述实时数据的具体值,则系统预加载配置受到劫持。2.根据权利要求1所述劫持系统预加载配置的病毒检测方法,其特征是,所述检测方法中检测的病毒为rootkit。3.根据权利要求1所述劫持系统预加载配置的病毒检测方法,其特征是,检测的系统与加载配置信息包括环境变量和/或配置文件的哈希值。4.根据权利要求3所述劫持系统预加载配置的病毒检测方法,其特征是,所述系统预加载配置受到劫持之后,还包括以下步骤:将系统预加载配置信息修改为记录的初始值。5.根据权利要求4所述劫持系统预加载配置的病毒检测方法,其特征是,所述系统预加载配置受到劫持之后,还包括以下步骤;计算系统预加载配置文件的哈希值,下发到全网。6.根据权利要求3所述劫持系统预加载配置的病毒检测方法,其特征是,所述配置信息为环境变量时,将环境变量的实时数据与预设的环境变量的初始值进行比较,若两者不一致,则认为系统预加载配置受到劫持。7.根据权利要求3所述劫持系统预加载配置的病毒检测方法,其特征是,所述配置信息为配置文件时,获取当前配置文件的更新值,若无法获取,则认为系统预加载配置受到劫持。8.一种劫持系统预加载配置的病毒检测装置,其特征是,所述装置包括:信息采集单元,用于检测系统预加载配置信息的实时数据;信息处理单元,用于将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;检测判定单元,若发生变化且获取不到所述实时数据的具体值,则系统预加载配置受到劫持。9.根据权利要求8所述劫持系统预加载配置的病毒检测装置,其特征是,所述装置还包括第一劫持处理单元,所述第一劫持处理单元用于将系统预加载配置信息修改为记录的初始值。10.根据权利要求8所述劫持系统预加载配置的病毒检测装置,其特征是,所述装置还包括第二劫持处理单元,所述第二劫持处理单元用于计算系统预加载配置文件的哈希值,下发到全网。

技术总结
本发明提供了一种劫持系统预加载配置的病毒检测方法及装置,所述方法包括检测系统预加载配置信息的实时数据;将所述实时数据与系统加载配置的初始值进行比较,判断是否发生变化;若发生变化且获取不到所述实时数据的具体值,则系统预加载配置受到劫持。本发明通过检测系统预加载配置信息的实时数据,并与初始值比较,在配置信息发生更新时,进一步获取更新后的具体数据,若环境变量发生变化或无法获取到配置文件的具体值,则检测到系统预加载配置受到了劫持。能够准确、快速的检测到病毒威胁,保证用户安全。保证用户安全。保证用户安全。


技术研发人员:张彬
受保护的技术使用者:苏州浪潮智能科技有限公司
技术研发日:2021.11.05
技术公布日:2022/3/7

专利

最新回复(0)