①特种木马检测系统是针对已知或未知的 APT 木马的检测分析系统,可对政府、 军队、大型企业等涉密及非涉密单位中可能存在的特种木马进行检测分析。产品既可 用于单机检测,也可用于网络检测。产品采用了木马静态分析、特有的木马仿真运行 动态分析、木马行为检测等技术,可对主机中的数据进行深度挖掘分析和综合判断, 从中获取主机包含的恶意代码的内容信息和相关木马信息。
②核心技术及指标:
·系统直接分析各物理内存页面来检测恶意代码,可以避免被恶意代码察觉并规避;
·系统通过 DLL 加载异常检测 、DLL 隐藏检测、DLL 路径异常检测、ShellCode 检测、网络连接检测、Http/Https 会话跟踪检测等搜寻木马在内存中留下的蛛丝马 迹,可有效检测到未知恶意代码;
·系统通过直接分析 NTFS 文件系统的底层格式获得恶意代码的植入时间,获得的植入时间更加准确;
·系统通过将自启动项、进程信息、物理磁盘上的文件及实时监控信息全面关联, 能有效还原恶意代码的植入过程;
·系统集成多种静态扫描引擎、漏洞库及黑客工具分析引擎,能够较为全面的获得 恶意代码的信息。
③产业上下游情况介绍,项目效益分析
木马检测可以广泛用在各企业/事业/机关单位日常网络维护,特别是公安/国安部门 中,项目效益可达亿元以上。
④技术转化所需条件:
检测软件相关的基础信息 2018 年 6 月之后没有更新,需要 100 万元资金对软件 界面进行修改和病毒库更新
山东省计算中心(国家超级计算济南中心)
王连海研究员
软件著作权 1 项
小试阶段
技术开发、技术入股 和 合作开发
15153151509
