(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113761527A(43)申请公布日2021.12.07(21)申请号202010627419.5(22)申请日2020.07.01(71)申请人北京沃东天骏信息技术有限公司地址100176北京市大兴区北京经济技术开发区科创十一街18号院2号楼4层A402室申请人北京京东世纪贸易有限公司(72)发明人许春杰(74)专利代理机构北京品源专利代理有限公司11332代理人孟金喆(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书10页附图3页(54)发明名称一种反弹shell进程检测方法、装置、设备及存储介质(57)摘要本发明实施例公开了一种反弹shell进程检测方法、装置、设备及存储介质。所述方法包括：获取待检测进程；获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程。本发明实施例提供的反弹shell进程检测方法通过在确定待检测进程为反弹shell进程时，基于反弹shell进程的来源信息进行阻断，实现了反弹shell进程的溯源检测。CN113761527ACN113761527A权利要求书1/2页1.一种反弹shell进程检测方法，其特征在于，包括：获取待检测进程；获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程。2.根据权利要求1所述的方法，其特征在于，所述获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程，包括：获取所述待检测进程指向输入句柄的文件描述符对应的输入文件内容，以及所述待检测进程指向输出句柄的文件描述符对应的输出文件内容；若所述输入文件内容和所述输出文件内容指向相同的套接字，则判定所述待检测进程为反弹shell进程。3.根据权利要求2所述的方法，其特征在于，还包括：若所述输入文件内容被重定向至设定管道，则继续获取所述待检测进程候选文件描述符对应的候选文件内容，根据所述候选文件内容判断所述待检测进程是否为反弹shell进程。4.根据权利要求3所述的方法，其特征在于，所述候选文件描述符包括第一候选描述符、第二文件描述符和第三文件描述符，所述获取所述待检测进程候选文件描述符对应的候选文件内容，根据所述候选文件内容判断所述待检测进程是否为反弹shell进程，包括：获取所述第一候选描述符对应的第一候选内容、所述第二候选描述符对应的第二候选内容以及第三候选描述符对应的第三候选内容，若所述第一候选内容、所述第二候选内容和所述第三候选内容中的至少一个被重定向至套接字，则判定所述待检测进程为反弹shell进程。5.根据权利要求4所述的方法，其特征在于，所述获取所述第一候选描述符对应的第一候选内容、所述第二候选描述符对应的第二候选内容以及第三候选描述符对应的第三候选内容，若所述第一候选内容、所述第二候选内容和所述第三候选内容中的至少一个被重定向至套接字，则判定所述待检测进程为反弹shell进程，包括：获取所述第一候选描述符对应的第一候选内容，判断所述第一候选内容是否被重定向至套接字，若所述第一候选内容被重定向至套接字，则判定所述待检测进程为反弹shell进程；若所述第一候选内容未被重定向至套接字，则获取所述第二候选描述符对应的第二候选内容，判断所述第二候选内容是否被重定向至套接字，若所述第二候选内容被重定向至套接字，则判定所述待检测进程为反弹shell进程；若所述第二候选内容未被重定向至套接字，则获取所述第三候选描述符对应的第三候选内容，判断所述第三候选内容是否被重定向至套接字，若所述第三候选内容被重定向至套接字，则判定所述待检测进程为反弹shell进程。6.根据权利要求5所述的方法，其特征在于，所述来源信息包括进程标识，所述提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程，包括：2CN113761527A权利要求书2/2页根据被重定向至套接字的文件内容确定所述待检测进程的进程标识，根据所述进程标识阻断所述待检测进程。7.根据权利要求6所述的方法，其特征在于，还包括：获取所述待检测进程的启动命令参数，根据所述启动命令参数判断所述待检测进程的启动环境；若所述启动环境为服务器端口权限环境，则获取所述待检测进程的启动指令，并基于所述启动指令确定木马文件所在位置，清除所述木马文件。8.一种反弹shell进程检测装