本發明實施例公開了一種反彈shell進程檢測方法、裝置、設備及存儲介質。所述方法包括：獲取待檢測進程；獲取所述待檢測進程的設定文件描述符對應的文件描述內容，根據所述文件描述內容判斷所述待檢測進程是否為反彈shell進程：當所述待檢測進程為反彈shell進程時，提取所述待檢測進程的來源信息，以根據所述來源信息阻斷所述待檢測進程。本發明實施例提供的反彈shell進程檢測方法通過在確定待檢測進程為反彈shell進程時，基于反彈shell進程的來源信息進行阻斷，實現了反彈shell進程的溯源檢測。

技術領域

本發明實施例涉及計算機技術領域，尤其涉及一種反彈shell進程檢測方法、裝置、設備及存儲介質。

背景技術

反彈shell是滲透測試過程中常用的攻擊手法。在企業環境下，由于防火墻等防護措施的存在，攻擊者用自己的機器主動連接目標機器的端口往往不可行，因此反彈shell的技術應運而生。反彈shell技術主要在控制端監聽某TCP/IP端口，被控端主動發起請求連接控制端監聽的端口，將命令的執行結果輸出到遠程控制端，從而突破防火墻的限制。攻擊者利用遠程反彈過來的shell終端執行漏洞利用程序進行提權，實現對服務器或遠程主機的完全控制。在實現本發明的過程中，發明人發現現有技術中至少存在以下技術問題：目前反彈shell的檢測技能抵御當前反彈shell的攻擊，但無法溯源，檢測結果有一定的局限性。

發明內容

本發明實施例提供了一種反彈shell進程檢測方法、裝置、設備及存儲介質，以實現反彈shell進程的溯源檢測。

第一方面，本發明實施例提供了一種反彈shell進程檢測方法，包括：

獲取待檢測進程；

獲取所述待檢測進程的設定文件描述符對應的文件描述內容，根據所述文件描述內容判斷所述待檢測進程是否為反彈shell進程：

當所述待檢測進程為反彈shell進程時，提取所述待檢測進程的來源信息，以根據所述來源信息阻斷所述待檢測進程。

第二方面，本發明實施例還提供了一種反彈shell進程檢測裝置，包括：

待檢測進程獲取模塊，用于獲取待檢測進程；

反彈shell進程判斷模塊，用于獲取所述待檢測進程的設定文件描述符對應的文件描述內容，根據所述文件描述內容判斷所述待檢測進程是否為反彈shell進程：

反彈shell進程阻斷模塊，用于當所述待檢測進程為反彈shell進程時，提取所述待檢測進程的來源信息，以根據所述來源信息阻斷所述待檢測進程。

第三方面，本發明實施例還提供了一種計算機設備，所述設備包括：

一個或多個處理器；

存儲裝置，用于存儲一個或多個程序；

當一個或多個程序被一個或多個處理器執行，使得一個或多個處理器實現如本發明任意實施例所提供的反彈shell進程檢測方法。

第四方面，本發明實施例還提供了一種計算機可讀存儲介質，其上存儲有計算機程序，該程序被處理器執行時實現如本發明任意實施例所提供的反彈shell進程檢測方法。

本發明實施例通過獲取待檢測進程；獲取所述待檢測進程的設定文件描述符對應的文件描述內容，根據所述文件描述內容判斷所述待檢測進程是否為反彈shell進程：當所述待檢測進程為反彈shell進程時，提取所述待檢測進程的來源信息，以根據所述來源信息阻斷所述待檢測進程，通過在確定待檢測進程為反彈shell進程時，基于反彈shell進程的來源信息進行阻斷，實現了反彈shell進程的溯源檢測。

附圖說明

圖1是本發明實施例一所提供的一種反彈shell進程檢測方法的流程圖；