本申請公開了一種反向Shell的監測方法、裝置、終端設備及介質，該方法首先是獲取目標主機接收到的通信數據，從而判斷通信數據中是否包含有表征傳輸密鑰行為的數據，如果有，則確定發送通信數據的控制主機以確定該通信數據的來源，然后再獲取目標主機與控制主機通信所采用的通信密鑰，通過該通信密鑰就可以解密控制主機發送至目標主機的請求數據，從而可以對請求數據進行驗證以確定是否進行反向Shell。由此可見，本技術方案，通過與目標主機的通信流量入手，并不是直接針對靜態文件，所以即使靜態文件被加殼和混淆處理，也能夠通過通信密鑰還原靜態文件，能夠規避直接對靜態文件進行檢測所帶來的困難。

技術領域

本申請涉及計算機技術領域，特別是涉及一種反向Shell的監測方法、裝置、終端設備及介質。

背景技術

Shell是指為使用者提供操作界面的軟件(命令解析器)，它類似于磁盤操作系統(DOS)下的command.com和后來的cmd.exe。反向Shell是一種往遠程機器發送Shell命令的技術，由于反向Shell能夠繞過防火墻等其它防御措施，進而對遠程機器執行root命令，所以對于反向Shell的監測及其重要。

在特定網絡環境中，往往一臺主機需要與其它主機建立網絡連接，實現特定的功能，在此環境下，該主機就會面臨被其它主機實施反向Shell的操作。現有技術中，為了監測是否存在反向Shell，通常采用的方法是利用殺毒軟件掃描兩個主機傳輸的文件，但是當文件被做過殺毒軟件免殺的操作后，例如加殼或混淆處理，使得殺毒軟件無法進行有效監測。

由此可見，如何有效監測反向Shell是本領域技術人員亟待解決的問題。

發明內容

本申請的目的是提供一種反向Shell的監測方法、裝置、終端設備及介質，能夠監測被加殼和混淆處理的反向Shell。

為解決上述技術問題，本申請提供一種反向Shell的監測方法，包括：

獲取目標主機接收到的通信數據；

當所述通信數據中包含有表征傳輸密鑰行為的數據時，確定發送所述通信數據的控制主機；

獲取所述目標主機與所述控制主機通信所采用的通信密鑰；

利用所述通信密鑰解密所述控制主機發送至所述目標主機的請求數據以便進行驗證。

優選地，所述通信密鑰為對稱加密算法的密鑰，所述傳輸密鑰行為具體為傳輸所述控制主機的公鑰；

所述獲取所述目標主機與所述控制主機通信所采用的通信密鑰包括：

斷開所述目標主機與所述控制主機的網絡連接；

分別與所述目標主機和控制主機建立網絡連接；

向所述目標主機發送第一公鑰；

獲取所述目標主機發送的加密數據，其中，所述加密數據為通過所述第一公鑰將所述通信密鑰加密的數據；

利用與所述第一公鑰對應的私鑰解密所述加密數據以得到所述通信密鑰；

向所述控制主機發送獲取公鑰的請求；

獲取所述控制主機發送的第二公鑰；

利用所述第二公鑰將所述通信密鑰加密，并發送至所述控制主機，以便所述控制主機利用與所述第二公鑰對應的私鑰解密以得到所述通信密鑰。

優選地，還包括：

接收所述目標主機發送至所述控制主機的響應數據；

通過所述通信密鑰解密所述響應數據，并存儲解密后的響應數據；

將解密后的響應數據通過所述通信密鑰再次加密，并發送至所述控制主機。