特种木马检测系统
成果简介
1、特种木马检测系统是针对已知或未知的 APT 木马的检测分析系统,
可对政府、军队、大型企业等涉密及非涉密单位中可能存在的特种木马进行检测分析。产品既可用于单机检测,也可用于网络检测。产品采用了木马静态分析、特有的木马仿真运行动态分析、木马行为检测等技术,可对主机中的数据进行深度挖掘分析和综合判断,从中获取主机包含的恶意代码的内容信息和相关木马信息。
2、核心技术及指标
系统直接分析各物理内存页面来检测恶意代码,可以避免被恶意代码察觉并规避;系统通过 DLL 加载异常检测、DLL 隐藏检测、DLL 路径异常检测、ShellCode 检测、网络连接检测、Http/Https 会话跟踪检测等搜寻木马在内存中留下的蛛丝马迹,可有效检测到未知恶意代码;系统通过直接分析 NTFS 文件系统的底层格式获得恶意代码的植入时间,获得的植入时间更加准确;系统通过将自启动项、进程信息、物理磁盘上的文件及实时监控信息全面关联,能有效还原恶意代码的植入过程;
系统集成多种静态扫描引擎、漏洞库及黑客工具分析引擎,能够较为全面的获得恶意代码的信息。
3、产业上下游情况介绍,项目效益分析
木马检测可以广泛用在各企业/事业/机关单位日常网络维护,特别是公安/国安部门中,项目效益可达亿元以上。
4、技术转化所需条件
检测软件相关的基础信息 2018 年 6 月之后没有更新,需要 100 万元资对软件界面进行修改和病毒库更新。
可对政府、军队、大型企业等涉密及非涉密单位中可能存在的特种木马进行检测分析。产品既可用于单机检测,也可用于网络检测。产品采用了木马静态分析、特有的木马仿真运行动态分析、木马行为检测等技术,可对主机中的数据进行深度挖掘分析和综合判断,从中获取主机包含的恶意代码的内容信息和相关木马信息。
2、核心技术及指标
系统直接分析各物理内存页面来检测恶意代码,可以避免被恶意代码察觉并规避;系统通过 DLL 加载异常检测、DLL 隐藏检测、DLL 路径异常检测、ShellCode 检测、网络连接检测、Http/Https 会话跟踪检测等搜寻木马在内存中留下的蛛丝马迹,可有效检测到未知恶意代码;系统通过直接分析 NTFS 文件系统的底层格式获得恶意代码的植入时间,获得的植入时间更加准确;系统通过将自启动项、进程信息、物理磁盘上的文件及实时监控信息全面关联,能有效还原恶意代码的植入过程;
系统集成多种静态扫描引擎、漏洞库及黑客工具分析引擎,能够较为全面的获得恶意代码的信息。
3、产业上下游情况介绍,项目效益分析
木马检测可以广泛用在各企业/事业/机关单位日常网络维护,特别是公安/国安部门中,项目效益可达亿元以上。
4、技术转化所需条件
检测软件相关的基础信息 2018 年 6 月之后没有更新,需要 100 万元资对软件界面进行修改和病毒库更新。
应用场景
不详