本发明专利技术涉及一种基于Linux系统的木马检测方法及装置,在一个实施例中所述方法包括以下步骤:接收通过指定方式触发的文件读取请求,所述文件读取请求为读取指定虚拟文件的请求,所述指定虚拟文件为Linux系统的内核模块创建的文件;接收到所述文件读取请求后,启动预设宏来读取内核进程链表,所述内核进程链表中包括至少一个进程;根据所述内核进程链表列举所述进程链表中进程对应的进程基层文件;若列举所述内核进程链表中进程对应的进程基层文件失败,则判定所述进程为木马进程。本发明专利技术提供的基于Linux系统的木马检测方法及装置能够有效检测和识别木马,提高电子终端的安全性。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,特别涉及一种基于Linux系统的木马检测方法及装置。
技术介绍
随着计算机技术的发展,计算机的功能也越来越多,也导致越来越多的黑客在用户的计算机中种植木马以达到自己的目的。所述木马通过特定的程序(木马程序)来控制另一台计算机,并且木马为了防止被本地用户发现而采取隐藏手段,即将木马核心代码进行隐藏。因此也相继出现了很多检测木马的方法,现有技术中,通过对比系统的异常行为来判断是否存在木马,但是此种方式往往需要大量数据比对,占用系统资源大,且效率低。
技术实现思路
有鉴于此,本专利技术提供一种基于Linux系统的木马检测方法及装置,能够直接有效地判断出系统是否存在木马,提高电子终端的安全。本专利技术实施例提供一种基于Linux系统的木马检测方法,所述方法包括以下步骤:接收通过指定方式触发的文件读取请求,所述文件读取请求为读取指定虚拟文件的请求,所述指定虚拟文件为Linux系统的内核模块创建的文件;接收到所述文件读取请求后,启动预设宏来读取内核进程链表,所述内核进程链表包括至少一个进程;根据所述内核进程链表列举所述进程链表中进程对应的进程基层文件;若列举所述内核进程链表中进程对应的进程基层文件失败,则判定所述进程为木马进程。本专利技术实施例还提供一种基于Linux系统的木马检测装置,所述装置包括:请求接收模块,用于接收通过指定方式触发的文件读取请求,所述文件读取请求为读取指定虚拟文件的请求,所述指定虚拟文件为Linux系统的内核模块创建的文件;进程表读取模块,用于启动预设宏来读取内核进程链表,所述内核进程链表中包括至少一个进程;文件列举模块,用于根据所述内核进程链表列举所述进程链表中进程对应的进程基层文件;判定模块,用于列举所述内核进程链表中进程对应的进程基层文件失败,则判定所述进程为木马进程。可以知道的是为了防止被用户发现木马,木马的基层文件被隐藏,根据本申请的实施例可以直接读取内核的基层文件,若读取不到所述基层文件则判断为木马,从而省去了大量数据对比,效率更高。为让本专利技术的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。附图说明图1示出了一种电子终端的结构框图。图2为第一实施例提供的一种基于Linux系统的木马检测方法流程图。图3为第二实施例提供的一种基于Linux系统的木马检测方法流程图。图4为第二实施例提供的一种基于Linux系统的木马检测方法流程图。图5为第三实施例提供的一种基于Linux系统的木马检测方法流程图。图6为第四实施例提供的一种基于Linux系统的木马检测装置结构框图。图7为第五实施例提供的一种基于Linux系统的木马检测装置结构框图。图8为第五实施例提供的一种基于Linux系统的木马检测装置结构框图。图9为第六实施例提供的一种基于Linux系统的木马检测装置结构框图。具体实施方式为更进一步阐述本专利技术为实现预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本专利技术的具体实施方式、结构、特征及其功效,详细说明如后。图1示出了一种电子终端的结构框图。如图1所示,电子终端100包括一个或多个(图中仅示出一个)处理器102、存储器104、存储控制器106,外设接口108、RF(RadioFrequency,射频)模块110、网络模块112、传感器114、输入模块116以及显示模块118。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子终端100的结构造成限定。例如,电子终端100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。上述的电子终端100的具体实例包括但并不限于手持式计算机、移动电话、媒体播放器、车载设备、个人数字助理及前述装置的各种组合。本领域普通技术人员可以理解,相对于处理器102来说,所有其他的组件均属于外设,处理器102与这些外设之间通过多个外设接口108相耦合。外设接口108可基于以下标准实现:通用异步接收/发送装置(UniversalAsynchronousReceiver/Transmitter,UART)、通用输入/输出(GeneralPurposeInputOutput,GPIO)、串行外设接口(SerialPeripheralInterface,SPI)、内部集成电路(Inter-IntegratedCircuit,I2C),但不并限于上述标准。在一些实例中,外设接口108可仅包括总线;在另一些实例中,外设接口108还可包括其他元件,如一个或者多个控制器,例如用于连接液晶显示面板的显示控制器或者用于连接存储器的存储控制器106。此外,这些控制器还可以从外设接口108中脱离出来,而集成于处理器102内或者相应的外设内。存储器104可用于存储软件程序以及模块,如本专利技术实施例中的基于Linux系统的木马检测方法/装置/系统对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的基于Linux系统的木马检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至电子终端100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。RF模块110用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。RF模块110可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。RF模块110可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。上述的无线网络可以使用各种通信标准、协议及技术,包括但并不限于全球移动通信系统(GlobalSystemforMobileCommunication,GSM)、增强型移动通信技术(EnhancedDataGSMEnvironment,EDGE),宽带码分多址技术(widebandcodedivisionmultipleaccess,W-CDMA),码分多址技术(Codedivisionaccess,CDMA)、时分多址技术(timedivisionmultipleaccess,TDMA),无线保真技术(Wireless,Fidelity,WiFi)(如美国电气和电子工程师协会标准IEEE802.11a,IEEE802.11b,IEEE802.11g和/或IEEE802.11n)、网络电话(Voiceoverinternetprotocal,VoIP)、全球微波互联接入(WorldwideInteroperabilityforMicrowaveAccess,Wi-Max)、其他用于邮件、即时通讯及短消息的协议,以及任何其他合适的通讯协议,甚至可包括那些当前仍未被开发出来的协议。网络模块112用于接收以及发送网络信号。本文档来自技高网...
【技术保护点】
一种基于Linux系统的木马检测方法,其特征在于,所述方法包括以下步骤:接收通过指定方式触发的文件读取请求,所述文件读取请求为读取指定虚拟文件的请求,所述指定虚拟文件为Linux系统的内核模块创建的文件;接收到所述文件读取请求后,启动预设宏来读取内核进程链表,所述内核进程链表中包括至少一个进程;根据所述内核进程链表列举所述进程链表中进程对应的进程基层文件;若列举所述内核进程链表中进程对应的进程基层文件失败,则判定所述进程为木马进程。
【技术特征摘要】
1.一种基于Linux系统的木马检测方法,其特征在于,所述方法包括以下步骤:接收通过指定方式触发的文件读取请求,所述文件读取请求为读取指定虚拟文件的请求,所述指定虚拟文件为Linux系统的内核模块创建的文件;接收到所述文件读取请求后,启动预设宏来读取内核进程链表,所述内核进程链表中包括至少一个进程;根据所述内核进程链表列举所述进程链表中进程对应的进程基层文件;若列举所述内核进程链表中进程对应的进程基层文件失败,则判定所述进程为木马进程。2.如权利要求1所述的基于Linux系统的木马检测方法,其特征在于,还包括:若列举到所述内核进程链表中进程对应的进程基层文件,则判定所述进程为安全进程。3.如权利要求1所述的基于Linux系统的木马检测方法,其特征在于,所述接收通过指定方式触发的文件读取请求包括:接收用户触发的木马查杀软件界面的木马检测按钮操作,则触发所述文件读取请求;或者接收用户设定的预设时间间隔进行木马查杀的操作,所述预设时间间隔自动触发所述文件读取请求。4.如权利要求1所述的基于Linux系统的木马检测方法,其特征在于,所述根据所述内核进程链表列举所述进程链表中进程对应的进程基层文件包括:逐一读取所述内核进程链表中的进程;根据读取的所述进程,列举对应于所述进程的基层文件,若所述进程存在对应基层文件则能够读取成功,若所述进程的基层文件被隐藏则读取失败。5.如权利要求1所述的基于Linux系统的木马检测方法,其特征在于,所述内核进程链表中的进程为运行在当前电子...
【专利技术属性】
技术研发人员:江虎,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。