CN114936368B 一种Java内存木马检测方法、终端设备及存储介质 （厦门服云信息科技有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN114936368B(45)授权公告日2025.07.11

(21)申请号202210421397.6

(22)申请日2022.04.21

(65)同一申请的已公布的文献号申请公布号CN114936368A

(43)申请公布日2022.08.23

(73)专利权人厦门服云信息科技有限公司

地址361000福建省厦门市软件园二期观

日路12号403单元

(72)发明人刘映江陈奋陈荣有李伟彬张志灿

(74)专利代理机构厦门市精诚新创知识产权代

理有限公司35218专利代理师赵薇

GO6F21/55(2013.01)

GO6F8/30(2018.01)

GO6F9/445(2018.01)

GO6F9/455(2006.01)

(56)对比文件

CN114065204A,2022.02.18审查员彭智敏

(51)Int.CI.

GO6F21/56(2013.01)权利要求书1页说明书4页附图2页

(54)发明名称

一种Java内存木马检测方法、终端设备及存储介质

(57)摘要

CN114936368B本发明涉及一种Java内存木马检测方法、终端设备及存储介质，该方法中包括：S1:构建类加载器列表；S2:针对当前Java进程中的每个无源类进行以下判断；S3:判断无源类是否为匿名类，如果是，进入S4;否则，根据该无源类的类加载器信息和类信息判断该无源类是否有威胁；S4:判断该无源类的父类是否为有源类，如果是，根据其父类的类加载器信息判断该无源类是否有威胁；否则，进入S5;S5:判断该无源类的父类的类加载器是否与该无源类的类加载器相同，如果相同，根据该无源类的父类的类加载器信息和类信

CN114936368B

构建类加载器列表

构建类加载器列表

读取并记录当前Java进程中的所有无源类以及对应的类信息，对每个无源类进行以下判断

根据类加载器信息和

类信息判断该无源类

是否有威胁

是

根据父类的类加载器

信息判断该无源类是

否有威胁

根据父类的类加载器

信息和类信息判断该

无源类是否有威胁

否

该无源类有威胁

父类是否为有源类

否

是否与父类的类加载器相同

是否为匿名类

是

是

否

CN114936368B权利要求书1/1页

2

1.一种Java内存木马检测方法，其特征在于，包括以下步骤：

S1:构建类加载器列表，用于记录Java系统的类加载器和Web容器的类加载器；

S2:读取并记录当前Java进程中的所有无源类以及对应的类信息，对每个无源类进行以下步骤的判断；

S3:判断无源类是否为匿名类，如果是，进入S4;否则，获取该无源类的类加载器信息和类信息，根据类加载器信息和类信息判断该无源类是否有威胁；

S4:判断该无源类的父类是否为有源类，如果是，获取其父类的类加载器信息，根据类加载器信息判断该无源类是否有威胁；否则，进入S5;

S5:判断该无源类的父类的类加载器是否与该无源类的类加载器相同，如果相同，获取该无源类的父类的类加载器信息和类信息，根据类加载器信息和类信息判断该无源类是否有威胁；否则，判定该无源类有威胁；

根据类加载器信息判断该无源类是否有威胁的方法包括以下步骤：

S101:判断类加载器是否为自定义类加载器，如果是，进入S102;否则，进入S104;

S102:判断类加载器是否为有源类，如果是，进入S103;否则，判定该无源类有威胁；

S103:判断类加载器是否与该无源类的父类存在于相同package中，如果是，则判定该无源类无威胁；否则，判定该无源类有威胁；

S104:判断类加载器是Java系统的类加载器还是Web容器的类加载器，如果是Java系统的类加载器则判定该无源类无威胁，如果是Web容器的类加载器则判定该无源类有威胁。

2.根据权利要求1所述的Java内存木马检测方法，其特征在于：根据类加载器信息和类信息判断该无源类是否有威胁的方法为：只有当根据类加载器信息和类信息判断该无源类均无威胁时，才判定该无源类无威胁。

3.根据权利要求1所述的Java内存木马检测方法，其特征在于：步骤S1