特种木马的防御与检测技术研究

2023 年 9 月 1 日 by 沧海之树 In 工作

第5章 检测与清除模块设计

静态木马检测技术通过检测木马程序在主机中驻留的静态特征进行判断，包括木马程序在主机中放置的文件信息，注册表信息等。静态的木马检测需要用户主动运行程序实现检测。检测对象包括类型为exe、dll、com等可执行文件。监控的电子文档类型包括 Office系列文档类型、PDF 等。

木马的静态特征分为:木马在目标系统中生成文件及木马原始文件的特征字符串;木马在目标系统中运行时进程的名称;木马运行时打开的固定TCP/IP端口号;木马在目标系统中具体的启动加载方式;木马植入后在目标系统中的生成文件名、文件大小及所在目录等。

静态木马检测技术的优点在于即使木马程序发生改变，只要其特征不发生改变，就能够很好地检测到木马程序，误报率低。