终端检测方法、探针模块、管理模块、电子设备、介质与流程

本公开实施例涉及计算机，特别涉及一种终端检测方法、一种探针模块、一种管理模块、一种电子设备、一种计算机可读介质。

背景技术：

1、在针对终端的网络攻击中，网络攻击者通过篡改终端系统中的可执行文件来隐藏行踪，或通过在可执行文件中植入代码来传输病毒或木马，会对终端造成严重危害。

2、为了保护终端安全、减小网络攻击行为对终端造成的损失，如何及时发现终端中被篡改或破坏的可执行文件并处理成为亟待解决的问题。

技术实现思路

1、本公开实施例提供一种终端检测方法、一种探针模块、一种管理模块、一种电子设备、一种计算机可读介质。

2、第一方面，本公开实施例提供一种终端检测方法，应用于终端，包括：

3、获取终端中的可执行文件当前的第一校验特征；

4、将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；

5、将所述检测结果发送到管理端；

6、当接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。

7、在一些实施例中，所述第二校验特征包括多个第二子文件的第二散列值，对所述可执行文件原始的第二文件信息按照预设规则进行拆分得到多个所述第二子文件；获取终端中的可执行文件当前的第一校验特征的步骤包括：

8、获取所述可执行文件当前的第一文件信息；

9、将所述第一文件信息按照所述预设规则进行拆分，得到多个第一子文件，其中，多个所述第一子文件与多个所述第二子文件一一对应；

10、分别计算各个所述第一子文件的第一散列值，得到所述第一校验特征。

11、在一些实施例中，将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果的步骤包括：

12、将多个所述第一散列值分别与对应的所述第二散列值进行比较；

13、在每一个所述第一散列值均与对应的所述第二散列值一致的情况下，得到表征所述第一校验特征与所述第二校验特征一致的检测结果；

14、在至少一个所述第一散列值与对应的所述第二散列值不一致的情况下，得到表征所述第一校验特征与所述第二校验特征不一致的检测结果。

15、在一些实施例中，在获取终端中的可执行文件当前的第一校验特征的步骤之前，所述终端检测方法还包括：

16、当所述终端中生成所述可执行文件时，获取所述第二文件信息；

17、将所述第二文件信息按照所述预设规则进行拆分，得到多个所述第二子文件；

18、分别计算各个所述第二子文件的第二散列值，得到所述第二校验特征。

19、第二方面，本公开实施例提供一种终端检测方法，应用于管理端，包括：

20、接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；

21、在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：

22、阻止所述可执行文件运行、并删除所述可执行文件；或

23、阻止所述可执行文件运行；或

24、允许所述可执行文件运行。

25、在一些实施例中，所述终端检测方法还包括：

26、在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，生成告警信息，其中，所述告警信息包括所述可执行文件的信息；

27、生成策略日志，其中，所述策略日志用于记录所述策略指令所指示的策略。

28、第三方面，本公开实施例提供一种探针模块，应用于终端，包括：

29、计算单元，配置为获取终端中的可执行文件当前的第一校验特征；

30、检测单元，配置为将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；

31、第一通信单元，配置为将所述检测结果发送到管理端；

32、处理单元，配置为当所述第一通信单元接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。

33、第四方面，本公开实施例提供一种管理模块，应用于管理端，包括：

34、第二通信单元，配置为接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；

35、策略单元，配置为在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：

36、阻止所述可执行文件运行、并删除所述可执行文件；或

37、阻止所述可执行文件运行；或

38、允许所述可执行文件运行。

39、第五方面，本公开实施例提供一种电子设备，包括：

40、一个或多个处理器；

41、存储器，其上存储有一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述任意一种方法；

42、一个或多个i/o接口，连接在所述处理器与存储器之间，配置为实现所述处理器与存储器的信息交互。

43、第六方面，本公开实施例提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任意一种方法。

技术特征：

1.一种终端检测方法，应用于终端，包括：

2.根据权利要求1所述的终端检测方法，其中，所述第二校验特征包括多个第二子文件的第二散列值，对所述可执行文件原始的第二文件信息按照预设规则进行拆分得到多个所述第二子文件；获取终端中的可执行文件当前的第一校验特征的步骤包括：

3.根据权利要求2所述的终端检测方法，其中，将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果的步骤包括：

4.根据权利要求2或3所述的终端检测方法，其中，在获取终端中的可执行文件当前的第一校验特征的步骤之前，所述终端检测方法还包括：

5.一种终端检测方法，应用于管理端，包括：

6.根据权利要求5所述的终端检测方法，其中，所述终端检测方法还包括：

7.一种探针模块，应用于终端，包括：

8.一种管理模块，应用于管理端，包括：

9.一种电子设备，包括：

10.一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现根据权利要求1至6中任意一项所述的方法。

技术总结
本公开提供一种终端检测方法，应用于终端，包括：获取终端中的可执行文件当前的第一校验特征；将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；将所述检测结果发送到管理端；当接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。本公开实施例还提供一种探针模块、一种管理模块、一种电子设备、一种计算机可读介质。

技术研发人员：何武红,韩欣,涂俊
受保护的技术使用者：中电长城网际系统应用有限公司
技术研发日：
技术公布日：2024/1/15