[發(fā)明專利]一種反彈shell進程檢測方法、裝置、設備及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202010627419.5 | 申請日: | 2020-07-01 |
| 公開(公告)號: | CN113761527A | 公開(公告)日: | 2021-12-07 |
| 發(fā)明(設計)人: | 許春杰 | 申請(專利權)人: | 北京沃東天駿信息技術有限公司;北京京東世紀貿(mào)易有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京品源專利代理有限公司 11332 | 代理人: | 孟金喆 |
| 地址: | 100176 北京市大興區(qū)北京經(jīng)濟*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 反彈 shell 進程 檢測 方法 裝置 設備 存儲 介質(zhì) | ||
1.一種反彈shell進程檢測方法,其特征在于,包括:
獲取待檢測進程;
獲取所述待檢測進程的設定文件描述符對應的文件描述內(nèi)容,根據(jù)所述文件描述內(nèi)容判斷所述待檢測進程是否為反彈shell進程:
當所述待檢測進程為反彈shell進程時,提取所述待檢測進程的來源信息,以根據(jù)所述來源信息阻斷所述待檢測進程。
2.根據(jù)權利要求1所述的方法,其特征在于,所述獲取所述待檢測進程的設定文件描述符對應的文件描述內(nèi)容,根據(jù)所述文件描述內(nèi)容判斷所述待檢測進程是否為反彈shell進程,包括:
獲取所述待檢測進程指向輸入句柄的文件描述符對應的輸入文件內(nèi)容,以及所述待檢測進程指向輸出句柄的文件描述符對應的輸出文件內(nèi)容;
若所述輸入文件內(nèi)容和所述輸出文件內(nèi)容指向相同的套接字,則判定所述待檢測進程為反彈shell進程。
3.根據(jù)權利要求2所述的方法,其特征在于,還包括:
若所述輸入文件內(nèi)容被重定向至設定管道,則繼續(xù)獲取所述待檢測進程候選文件描述符對應的候選文件內(nèi)容,根據(jù)所述候選文件內(nèi)容判斷所述待檢測進程是否為反彈shell進程。
4.根據(jù)權利要求3所述的方法,其特征在于,所述候選文件描述符包括第一候選描述符、第二文件描述符和第三文件描述符,所述獲取所述待檢測進程候選文件描述符對應的候選文件內(nèi)容,根據(jù)所述候選文件內(nèi)容判斷所述待檢測進程是否為反彈shell進程,包括:
獲取所述第一候選描述符對應的第一候選內(nèi)容、所述第二候選描述符對應的第二候選內(nèi)容以及第三候選描述符對應的第三候選內(nèi)容,若所述第一候選內(nèi)容、所述第二候選內(nèi)容和所述第三候選內(nèi)容中的至少一個被重定向至套接字,則判定所述待檢測進程為反彈shell進程。
5.根據(jù)權利要求4所述的方法,其特征在于,所述獲取所述第一候選描述符對應的第一候選內(nèi)容、所述第二候選描述符對應的第二候選內(nèi)容以及第三候選描述符對應的第三候選內(nèi)容,若所述第一候選內(nèi)容、所述第二候選內(nèi)容和所述第三候選內(nèi)容中的至少一個被重定向至套接字,則判定所述待檢測進程為反彈shell進程,包括:
獲取所述第一候選描述符對應的第一候選內(nèi)容,判斷所述第一候選內(nèi)容是否被重定向至套接字,若所述第一候選內(nèi)容被重定向至套接字,則判定所述待檢測進程為反彈shell進程;
若所述第一候選內(nèi)容未被重定向至套接字,則獲取所述第二候選描述符對應的第二候選內(nèi)容,判斷所述第二候選內(nèi)容是否被重定向至套接字,若所述第二候選內(nèi)容被重定向至套接字,則判定所述待檢測進程為反彈shell進程;
若所述第二候選內(nèi)容未被重定向至套接字,則獲取所述第三候選描述符對應的第三候選內(nèi)容,判斷所述第三候選內(nèi)容是否被重定向至套接字,若所述第三候選內(nèi)容被重定向至套接字,則判定所述待檢測進程為反彈shell進程。
6.根據(jù)權利要求5所述的方法,其特征在于,所述來源信息包括進程標識,所述提取所述待檢測進程的來源信息,以根據(jù)所述來源信息阻斷所述待檢測進程,包括:
根據(jù)被重定向至套接字的文件內(nèi)容確定所述待檢測進程的進程標識,根據(jù)所述進程標識阻斷所述待檢測進程。
7.根據(jù)權利要求6所述的方法,其特征在于,還包括:
獲取所述待檢測進程的啟動命令參數(shù),根據(jù)所述啟動命令參數(shù)判斷所述待檢測進程的啟動環(huán)境;
若所述啟動環(huán)境為服務器端口權限環(huán)境,則獲取所述待檢測進程的啟動指令,并基于所述啟動指令確定木馬文件所在位置,清除所述木馬文件。
8.一種反彈shell進程檢測裝置,其特征在于,包括:
待檢測進程獲取模塊,用于獲取待檢測進程;
反彈shell進程判斷模塊,用于獲取所述待檢測進程的設定文件描述符對應的文件描述內(nèi)容,根據(jù)所述文件描述內(nèi)容判斷所述待檢測進程是否為反彈shell進程:
反彈shell進程阻斷模塊,用于當所述待檢測進程為反彈shell進程時,提取所述待檢測進程的來源信息,以根據(jù)所述來源信息阻斷所述待檢測進程。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京沃東天駿信息技術有限公司;北京京東世紀貿(mào)易有限公司,未經(jīng)北京沃東天駿信息技術有限公司;北京京東世紀貿(mào)易有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010627419.5/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
