一种反弹shell进程检测方法、装置、设备及存储介质与流程

1.本发明实施例涉及计算机技术领域，尤其涉及一种反弹shell进程检测方法、装置、设备及存储介质。


背景技术：

2.反弹shell是渗透测试过程中常用的攻击手法。在企业环境下，由于防火墙等防护措施的存在，攻击者用自己的机器主动连接目标机器的端口往往不可行，因此反弹shell的技术应运而生。反弹shell技术主要在控制端监听某tcp/ip端口，被控端主动发起请求连接控制端监听的端口，将命令的执行结果输出到远程控制端，从而突破防火墙的限制。攻击者利用远程反弹过来的shell终端执行漏洞利用程序进行提权，实现对服务器或远程主机的完全控制。在实现本发明的过程中，发明人发现现有技术中至少存在以下技术问题：目前反弹shell的检测技能抵御当前反弹shell的攻击，但无法溯源，检测结果有一定的局限性。


技术实现要素：

3.本发明实施例提供了一种反弹shell进程检测方法、装置、设备及存储介质，以实现反弹shell进程的溯源检测。
4.第一方面，本发明实施例提供了一种反弹shell进程检测方法，包括：
5.获取待检测进程；
6.获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：
7.当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程。
8.第二方面，本发明实施例还提供了一种反弹shell进程检测装置，包括：
9.待检测进程获取模块，用于获取待检测进程；
10.反弹shell进程判断模块，用于获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：
11.反弹shell进程阻断模块，用于当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程。
12.第三方面，本发明实施例还提供了一种计算机设备，所述设备包括：
13.一个或多个处理器；
14.存储装置，用于存储一个或多个程序；
15.当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如本发明任意实施例所提供的反弹shell进程检测方法。
16.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任意实施例所提供的反弹shell进程检测方法。
17.本发明实施例通过获取待检测进程；获取所述待检测进程的设定文件描述符对应
的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程，通过在确定待检测进程为反弹shell进程时，基于反弹shell进程的来源信息进行阻断，实现了反弹shell进程的溯源检测。
附图说明
18.图1是本发明实施例一所提供的一种反弹shell进程检测方法的流程图；
19.图2a是本发明实施例二所提供的一种反弹shell进程检测方法的流程图；
20.图2b是本发明实施例二所提供的一种部分反弹shell进程特征示意图；
21.图3是本发明实施例三所提供的一种反弹shell进程检测方法的流程图；
22.图4是本发明实施例四所提供的一种反弹shell进程检测装置的结构示意图；
23.图5是本发明实施例五所提供的一种计算机设备的结构示意图。
具体实施方式
24.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
25.实施例一
26.图1是本发明实施例一所提供的一种反弹shell进程检测方法的流程图。本实施例可适用于检测进程是否为反弹shell进程时的情形。该方法可以由反弹shell进程检测装置执行，该反弹shell进程检测装置可以采用软件和/或硬件的方式实现，例如，该反弹shell进程检测装置可配置于计算机设备中。如图1所示，所述方法包括：
27.s110、获取待检测进程。
28.在本实施例中，可以根据运行系统从系统内核中捕获当前运行的shell程序的动作，将捕获到的shell进程作为待检测进程。以linux系统为例，可以获取虚拟文件系统(/proc目录)下的shell进程。其中，虚拟文件系统包括以进程标识(identity document，id)命名的多个目录，可通过目录查看当前运行的进程信息。示例性的，可以先从系统内核中获取当前进程并判断，以查找bash进程，通过bash进程的特征检测反弹shell进程。
29.s120、获取待检测进程的设定文件描述符对应的文件描述内容，根据文件描述内容判断待检测进程是否为反弹shell进程。
30.基于目前常用的攻击手段分析可知，并非所有场景的反弹shell特征均相同。例如有的反弹shell通过管道进行反弹shell连接，则描述符0、1同时指向pipe。然而部分反弹shell(如bash反弹、python反弹、perl反弹、nc反弹、php反弹等)对应的靶机上bash进程的输入输出句柄均重定向至远程socket，但通过管道将远程的输入流重定向至/bin/bash，对应的主机进程特征则略有不同。因此，可基于目前的反弹shell机制确定反弹shell的判断方案。可选的，每个进程均对应有多个文件描述符，可预先确定与反弹shell机制相关联的文件描述符作为设定文件描述符，在获取待检测进程后，基于待检测进程的设定描述符对应的文件描述内容判断待检测进程是否为反弹shell进程。
31.示例性的，可以将指向输入句柄和输出句柄的文件描述符作为设定描述符，获取
待检测进程指向输入句柄的文件描述符对应的输入文件内容以及指向输出句柄的文件描述符对应的输出文件内容，基于输入文件内容和输出文件内容判断待检测进程是否为反弹shell进程。
32.s130、当待检测进程为反弹shell进程时，提取待检测进程的来源信息，以根据来源信息阻断待检测进程。
33.在本实施例中，当待检测进程为反弹shell进程时，提取出待检测进程的来源信息，并利用bash进程支持操作日志外发的特点，将bash操作中待检测进程的来源信息记录在系统日志中，以根据系统日志中记录的来源信息阻断待检测进程，以及进行进一步溯源分析。其中，待检测进程的来源信息可以包括待检测进程的进程标识(process identification，pid)、来源标识(源ip)、端口标识等字段信息。可选的，根据来源信息阻断待检测进程可以为，根据进程pid将待检测进程进行阻断。
34.可选的，在提取出待检测进程的来源信息后，还可以基于来源信息生成告警信息，将告警信息通过短信或邮件的形式发送至运营人员进行告警。
35.本发明实施例通过获取待检测进程；获取待检测进程的设定文件描述符对应的文件描述内容，根据文件描述内容判断待检测进程是否为反弹shell进程：当待检测进程为反弹shell进程时，提取待检测进程的来源信息，以根据来源信息阻断待检测进程，通过在确定待检测进程为反弹shell进程时，基于反弹shell进程的来源信息进行阻断，实现了反弹shell进程的溯源检测。
36.实施例二
37.图2a是本发明实施例二所提供的一种反弹shell进程检测方法的流程图。本实施例在上述方案的基础上，进行了进一步优化。如图2a所示，所述方法包括：
38.s210、获取待检测进程。
39.s220、获取待检测进程指向输入句柄的文件描述符对应的输入文件内容，以及待检测进程指向输出句柄的文件描述符对应的输出文件内容。
40.在本实施例中，将判断待检测进程是否为反弹shell进行了具体化。可选的，可以首先根据待检测进程的输入句柄及输出句柄判断待检测进程是否为反弹shell进程。一般的，由终端正常开启的shell进程其文件描述符0、1、2均为tty。常见的反弹shell攻击中会将文件描述符0(即输入句柄)、1(即输出句柄)均重定向至远程socket连接。
41.图2b是本发明实施例二所提供的一种部分反弹shell进程特征示意图。图2b箭头尾部部分为终端开启的正常shell进程的文件描述符，箭头指向的为部分反弹shell进程的文件描述符。由图2b可知，终端开启的正常shell进程的文件描述符0、1、2均指向tty，部分反弹shell进程的文件描述符0、1、2指向dev/tcp/ip/port等。因此，可以获取指向输入句柄的文件描述符对应的输入文件内容和指向输出句柄的文件描述符对应的输出文件内容，基于输入文件内容和输出文件内容判断待检测进程是否为反弹shell进程。可选的，可以通过“ll/proc/xxxx/fd”命令查看待检测进程的各个文件描述符，其中“xxxx”为进程id，替换为进程id后即可查看对应进程的文件描述符对应的文件描述内容。示例性的，可以通过“ll/proc/4733/fd”可查看进程号为4733的进程对应的各文件描述符的文件描述内容。可将文件描述符0指向的内容作为输入文件内容，将文件描述符1指向的内容作为输出文件内容。
42.s230、若输入文件内容和输出文件内容指向相同的套接字，则判定待检测进程为
反弹shell进程。
43.当输入文件内容和输出文件内容指向相同的套接字(socket)时，表明待检测进程的输入输出句柄关联到同一个socket，则判定待检测进程为反弹shell进程。
44.s240、若输入文件内容被重定向至设定管道，则继续获取待检测进程候选文件描述符对应的候选文件内容，根据候选文件内容判断待检测进程是否为反弹shell进程。
45.在本实施例中，考虑到部分管道执行的反弹shell进程的特点并非是输入输出句柄关联至同一个socket，而是标准输入(即输入句柄)重定向到pipe，且存在被重定向至socket的文件描述符。因此，在本实施例中还需进一步检测输入文件内容是否被重定向至设定管道(pipe)。当输入文件内容被重定向至pipe时，继续获取候选文件描述符对应的候选文件内容，根据候选文件内容判断待检测进程是否为反弹shell进程。可选的，根据候选文件内容是否被重定向至套接字(socket)判断待检测进程是否为反弹shell进程。可以理解的是，候选文件描述符可以根据实际反弹shell的特点设定。
46.在本发明的一种实施方式中，候选文件描述符包括第一候选描述符、第二文件描述符和第三文件描述符，获取待检测进程候选文件描述符对应的候选文件内容，根据候选文件内容判断待检测进程是否为反弹shell进程，包括：获取第一候选描述符对应的第一候选内容、第二候选描述符对应的第二候选内容以及第三候选描述符对应的第三候选内容，若第一候选内容、第二候选内容和第三候选内容中的至少一个被重定向至套接字，则判定待检测进程为反弹shell进程。可选的，通过总结现有的反弹shell进程，通过管道执行的反弹shell特征为：标准输入重定向到pipe，且存在被重定向至socket的文件描述符，因此在输入文件内容被重定向至pipe时，继续获取第一候选描述符对应的第一候选内容、第二候选描述符对应的第二候选内容以及第三候选描述符对应的第三候选内容，当第一候选内容、第二候选内容和第三候选内容中的任一候选那内容被重定向至socket时，判定待检测进程为反弹shell进程。可选的，第一候选描述符可以为文件描述符3，第二候选描述符可以为文件描述符4，第三候选描述符可以为文件描述符5。另外，获取候选描述符对应的候选文件内容的方式可参照获取指向输入句柄的文件描述符对应的输入文件内容的方式，在此不再赘述。
47.在上述方案的基础上，获取第一候选描述符对应的第一候选内容、第二候选描述符对应的第二候选内容以及第三候选描述符对应的第三候选内容，若第一候选内容、第二候选内容和第三候选内容中的至少一个被重定向至套接字，则判定待检测进程为反弹shell进程，包括：获取第一候选描述符对应的第一候选内容，判断第一候选内容是否被重定向至套接字，若第一候选内容被重定向至套接字，则判定待检测进程为反弹shell进程；若第一候选内容未被重定向至套接字，则获取第二候选描述符对应的第二候选内容，判断第二候选内容是否被重定向至套接字，若第二候选内容被重定向至套接字，则判定待检测进程为反弹shell进程；若第二候选内容未被重定向至套接字，则获取第三候选描述符对应的第三候选内容，判断第三候选内容是否被重定向至套接字，若第三候选内容被重定向至套接字，则判定待检测进程为反弹shell进程。
48.具体的，可以根据候选描述符的顺序，依次判断候选描述符对应的候选文件内容是否被重定向至socket。示例性的，可以对文件描述符3、文件描述符4、文件描述符5、文件描述符6对应的文件描述内容等依次进行判断，若存在被重定向至socket的文件描述符，则
可认为待检测进程为反弹shell进程。
49.s250、当待检测进程为反弹shell进程时，根据被重定向至套接字的文件内容确定待检测进程的进程标识，根据进程标识阻断待检测进程。
50.在确定待检测进程为反弹shell进程后，从上述被重定向至socket的文件描述符中提取来源信息，将bash操作中待检测进程的来源信息记录在系统日志中，以根据系统日志中记录的来源信息阻断待检测进程，以及进行进一步溯源分析。其中，待检测进程的来源信息可以包括待检测进程的进程标识(即进程pid)。可选的，可以通过调用响应指令获取待检测进程的来源信息。以centos为例，可以执行lsof|grep sh命令查看进程通信，基于进程通信获取待检测进程的来源信息(包括pid、源ip及端口信息)。
51.在本实施例中，获取待检测进程的进程标识后，直接根据进程标识阻断待检测进程，还可以根据其他来源信息进行溯源。一个实施例中，还包括：获取待检测进程的启动命令参数，根据启动命令参数判断待检测进程的启动环境；若启动环境为服务器端口权限环境，则获取待检测进程的启动指令，并基于启动指令确定木马文件所在位置，清除木马文件。具体的，对待检测进程进行溯源可具体为：判断待检测进程的启动环境是否为服务器端口权限(webshell)环境，若待检测进程是由webshell启动，则查看待检测进程的启动指令，根据启动指令进一步寻找木马文件所在位置，清除木马。其中，可以通过系统指令判断待检测进程的启动环境是否为webshell环境。示例性的，可以通过pstree-asp[pid]查看启动命令行的参数，以确定待检测进程是否由webshell启动。可以通过cat/proc/pid/cmdline命令查看待检测进程的启动指令。
[0052]
本发明实施例将获取待检测进程的设定文件描述符对应的文件描述内容，根据文件描述内容判断待检测进程是否为反弹shell进程进行了具体化，通过依次检测设定文件描述符对应的文件描述内容以确定待检测进程是否为反弹shell进程，使得反弹shell进程的检测能够检测到各种不同特征的反弹shell进程，提高了反弹shell进程的检测精度。
[0053]
实施例三
[0054]
图3是本发明实施例三所提供的一种反弹shell进程检测方法的流程图。本实施例在上述实施例的基础上，提供了一种优选实施例。
[0055]
目前针对反弹shell的检测主要从主机层面入手、根据程序的终端属性文件描述符进行判断，若进程描述符中标准输入符和标准输出符同时指向socket连接，则判定为此处为反弹shell。但并不是各种场景的反弹shell特征均相同，比如通过管道进行的反弹shell连接，则描述符0、1同时指向pipe。一方面，反弹shell的形式各种各样，如果无法准确归纳出进程特征，会产生较多的误报，导致监控方案不可运营。另一方面，若进程特征不能考虑细致，也会存在漏报。且从落地实施上来看，技术成本较高且改造成本较大。因此不仅需要做到攻击可阻断，对攻击的溯源也同样重要。
[0056]
为解决现有技术中存在的反弹shell检测漏报、无法溯源的技术问题，本实施例提供了一种反弹shell进程检测方法，如图3所示，所述方法包括：
[0057]
s310、获取当前进程。
[0058]
获取当前进程并进行判断以查找bash进程，通过bash进程的特征来检测反弹shell。可选的，判断一个进程是否为bash进程可从两方面入手：1、从内核里捕获shell程序的动作；2、查询正在运行的shell程序。对于linux系统下考虑/proc目录，该目录被称为虚
拟文件系统，包括以进程id命名的一堆目录，可通过其查看当前运行的进程信息。
[0059]
一个实施例中，还可以从内核中捕获执行shell进程执行动作，同时获取进程的终端属性，基于终端属性获取shell进程。可以理解的是，每个进程在内核中都有一个进程控制块维护进程相关的信息。示例性的，可以通过内核函数for_each_process遍历所有进程，其中结构体中的task_struct->comm字段代表进程名称，bash或者sh即为shell进程。
[0060]
s320、判断进程的输入输出是否为socket连接。
[0061]
可选的，可以通过ll/proc/xxxx/fd命令查看bash进程的各个文件描述符。基于文件描述符0以及文件描述符1判断进程的输入输出是否为socket连接。
[0062]
若进程的输入输出为socket连接，则执行s340；若进程的输入输出不为socket连接，则执行s330。
[0063]
s330、判断fd＝0是否为pipe，且存在fd≥3重定向至socket。
[0064]
在本实施例中，fd在形式上是一个非负整数，是一个索引值，指向内核为每一个进程所维护的该进程打开文件的记录表。
[0065]
根据对目前常用的攻击手段分析，发现bash反弹、python反弹、perl反弹、nc反弹、php反弹等对应的靶机上bash进程的输入输出句柄均重定向至远程socket；然而通过管道将远程的输入流重定向至/bin/bash，对应的主机进程特征则略有不同。因此可以通过如下过程判断进程是否为反弹shell进程：若输入输出句柄关联到同一个socket，则认为此时存在反弹shell；若标准输入被重定向到pipe，则对文件描述符3及4、5、6等依次进行判断，若存在被重定向至socket的文件描述符，则可认为此进程为反弹shell进程。
[0066]
若fd＝0为pipe，且存在fd≥3重定向至socket，则执行s340；否则执行s360获取进程的父子进程和兄弟进程继续重新判断。
[0067]
s340、提取ip、port进行告警，并记录到syslog日志。
[0068]
在本实施例中，syslog为系统日志或系统记录，是一种用于在互联网协议(tcp/ip)的网上中传递记录档消息的标准。具体的，从s330中的socket文件描述符中提取pid、源ip和端口等字段，告警并记录到日志中。自bash-4.1，bash已经支持了将操作日志通过syslog外发，该配置可通过修改config-top.h文件，取消syslog_history注释，进行开启。
[0069]
s350、联合阻断模块进行阻断。
[0070]
在本实施例中，可以继承第三方的进程阻断模块进行阻断，还可以基于kill-9pid作为核心语句开发阻断模块进行阻断。在此基础上，阻断模块可以直接根据进程pid进行kill；或确定反弹shell的启动环境，若反弹shell是由webshell启动的，也可通过cat/proc/pid/cmdline命令查看当前shell的启动指令，进一步寻找木马文件所在位置，清除木马。
[0071]
本发明实施例通过对攻击场景细致划分得到较全面的检测方案，避免了反弹shell的检测漏报，另外通过syslog转发bash日志，联合进程阻断模块杀死shell进程，实现了针对反弹shell攻击的检测、处置、溯源流程。
[0072]
实施例四
[0073]
图4是本发明实施例四所提供的一种反弹shell进程检测装置的结构示意图。该反弹shell进程检测装置可以采用软件和/或硬件的方式实现，例如该反弹shell进程检测装置可以配置于计算机设备中。如图4所示，装置包括待应答信息获取模块410、输出结果获取
模块420和应答信息输出模块430，其中：
[0074]
待检测进程获取模块410，用于获取待检测进程；
[0075]
反弹shell进程判断模块420，用于获取待检测进程的设定文件描述符对应的文件描述内容，根据文件描述内容判断待检测进程是否为反弹shell进程；
[0076]
反弹shell进程阻断模块430，用于当待检测进程为反弹shell进程时，提取待检测进程的来源信息，以根据来源信息阻断待检测进程。
[0077]
本发明实施例通过待检测进程获取模块获取待检测进程；反弹shell进程判断模块获取待检测进程的设定文件描述符对应的文件描述内容，根据文件描述内容判断待检测进程是否为反弹shell进程：反弹shell进程阻断模块当待检测进程为反弹shell进程时，提取待检测进程的来源信息，以根据来源信息阻断待检测进程，通过在确定待检测进程为反弹shell进程时，基于反弹shell进程的来源信息进行阻断，实现了反弹shell进程的溯源检测。
[0078]
可选的，在上述方案的基础上，反弹shell进程判断模块420包括：
[0079]
文件内容获取单元，用于获取待检测进程指向输入句柄的文件描述符对应的输入文件内容，以及待检测进程指向输出句柄的文件描述符对应的输出文件内容；
[0080]
套接字判断单元，用于若输入文件内容和输出文件内容指向相同的套接字，则判定待检测进程为反弹shell进程。
[0081]
可选的，在上述方案的基础上，反弹shell进程判断模块420还包括：
[0082]
候选内容判断单元，用于若输入文件内容被重定向至设定管道，则继续获取待检测进程候选文件描述符对应的候选文件内容，根据候选文件内容判断待检测进程是否为反弹shell进程；
[0083]
可选的，在上述方案的基础上，候选文件描述符包括第一候选描述符、第二文件描述符和第三文件描述符，候选内容判断单元具体用于：
[0084]
获取第一候选描述符对应的第一候选内容、第二候选描述符对应的第二候选内容以及第三候选描述符对应的第三候选内容，若第一候选内容、第二候选内容和第三候选内容中的至少一个被重定向至套接字，则判定待检测进程为反弹shell进程。
[0085]
可选的，在上述方案的基础上，候选内容判断单元具体用于：
[0086]
获取第一候选描述符对应的第一候选内容，判断第一候选内容是否被重定向至套接字，若第一候选内容被重定向至套接字，则判定待检测进程为反弹shell进程；
[0087]
若第一候选内容未被重定向至套接字，则获取第二候选描述符对应的第二候选内容，判断第二候选内容是否被重定向至套接字，若第二候选内容被重定向至套接字，则判定待检测进程为反弹shell进程；
[0088]
若第二候选内容未被重定向至套接字，则获取第三候选描述符对应的第三候选内容，判断第三候选内容是否被重定向至套接字，若第三候选内容被重定向至套接字，则判定待检测进程为反弹shell进程。
[0089]
可选的，在上述方案的基础上，来源信息包括进程标识，反弹shell进程阻断模块430具体用于：
[0090]
根据被重定向至套接字的文件内容确定待检测进程的进程标识，根据进程标识阻断待检测进程。
[0091]
可选的，在上述方案的基础上，反弹shell进程阻断模块430还用于：
[0092]
获取待检测进程的启动命令参数，根据启动命令参数判断待检测进程的启动环境；
[0093]
若启动环境为服务器端口权限环境，则获取待检测进程的启动指令，并基于启动指令确定木马文件所在位置，清除木马文件。
[0094]
本发明实施例所提供的反弹shell进程检测装置可执行本发明任意实施例所提供的反弹shell进程检测方法，具备执行方法相应的功能模块和有益效果。
[0095]
实施例五
[0096]
图5是本发明实施例五所提供的一种计算机设备的结构示意图。图5示出了适于用来实现本发明实施方式的示例性计算机设备512的框图。图5显示的计算机设备512仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
[0097]
如图5所示，计算机设备512以通用计算设备的形式表现。计算机设备512的组件可以包括但不限于：一个或者多个处理器516，系统存储器528，连接不同系统组件(包括系统存储器528和处理器516)的总线518。
[0098]
总线518表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器516或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。
[0099]
计算机设备512典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备512访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。
[0100]
系统存储器528可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)530和/或高速缓存存储器532。计算机设备512可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储装置534可以用于读写不可移动的、非易失性磁介质(图5未显示，通常称为“硬盘驱动器”)。尽管图5中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom，dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线518相连。存储器528可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。
[0101]
具有一组(至少一个)程序模块542的程序/实用工具540，可以存储在例如存储器528中，这样的程序模块542包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块542通常执行本发明所描述的实施例中的功能和/或方法。
[0102]
计算机设备512也可以与一个或多个外部设备514(例如键盘、指向设备、显示器524等)通信，还可与一个或者多个使得用户能与该计算机设备512交互的设备通信，和/或与使得该计算机设备512能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口522进行。并且，计算机设备
512还可以通过网络适配器520与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器520通过总线518与计算机设备512的其它模块通信。应当明白，尽管图中未示出，可以结合计算机设备512使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
[0103]
处理器516通过运行存储在系统存储器528中的程序，从而执行各种功能应用以及数据处理，例如实现本发明实施例所提供的反弹shell进程检测方法，该方法包括：
[0104]
获取待检测进程；
[0105]
获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：
[0106]
当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程。
[0107]
当然，本领域技术人员可以理解，处理器还可以实现本发明任意实施例所提供的反弹shell进程检测方法的技术方案。
[0108]
实施例六
[0109]
本发明实施例六还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明实施例所提供的反弹shell进程检测方法，该方法包括：
[0110]
获取待检测进程；
[0111]
获取所述待检测进程的设定文件描述符对应的文件描述内容，根据所述文件描述内容判断所述待检测进程是否为反弹shell进程：
[0112]
当所述待检测进程为反弹shell进程时，提取所述待检测进程的来源信息，以根据所述来源信息阻断所述待检测进程。
[0113]
当然，本发明实施例所提供的一种计算机可读存储介质，其上存储的计算机程序不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的反弹shell进程检测方法的相关操作。
[0114]
本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0115]
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0116]
计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。
[0117]
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0118]
注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。