2.2深入分析的单机木马检测模块

　　木马隐蔽技术的发展使得木马在目标系统中越来越隐蔽，传统的基于静态特征的木马检测技术，面对已知木马的各种隐蔽和变化检测能力明显不足，对于未知的木马更是无能为力，具有根本性的缺陷。鼎普科技通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过监控注册表、文件和目录、端口进程关联和可疑调用行为、过滤分析网络通信等来检测木马。图2显示了单机木马检测模块的全部功能。

　　图2 鼎普木马监测与评估系统功能

　　单机木马检测模块以光盘或防病毒U盘为载体，重点实现功能如下：

　　(1)、静态检测：静态木马库的对比，对已知的高危木马进行匹配分析，检测当前高危木马;

　　(2)、动态检测：从木马所要运行活动的几个方面对未知木马变种进行动态特征的深入分析：

　　启动方式检测——对可疑BHO、启动文件、注册表启动项、异常服务、文件关联方式等进行检测，从程序、进程自启动方面得到木马的相关信息。

　　通信方式检测——从通信方式来深度检测，包括可疑打开端口、反弹端口、复用端口等。

　　文件系统检测——对文件系统进行扫描，发现加壳文件及隐藏的文件和文件夹。

　　系统帐号检测——木马要窃取信息通常会先获得管理员权限，因此对于系统中的帐号进行检测，包括帐号所属组、上次登录时间、修改口令时间等，监测有无被木马添加的账号信息。

　　(3)、智能分析：对可疑进程进行智能分析，评估检测出的已知或未知木马在一定时间内的所有操作行为，如打开文件、写文件、打包文件等来确定这些可疑进程是否为木马。

　　(4)、报表审计：对终端一键检测、静态检测、动态监测及智能分析的结果生成统计审计报表信息。