终端检测方法、探针模块、管理模块、电子设备、介质与流程

1.本公开实施例涉及计算机技术领域，特别涉及一种终端检测方法、一种探针模块、一种管理模块、一种电子设备、一种计算机可读介质。


背景技术：

2.在针对终端的网络攻击中，网络攻击者通过篡改终端系统中的可执行文件来隐藏行踪，或通过在可执行文件中植入代码来传输病毒或木马，会对终端造成严重危害。
3.为了保护终端安全、减小网络攻击行为对终端造成的损失，如何及时发现终端中被篡改或破坏的可执行文件并处理成为亟待解决的问题。


技术实现要素：

4.本公开实施例提供一种终端检测方法、一种探针模块、一种管理模块、一种电子设备、一种计算机可读介质。
5.第一方面，本公开实施例提供一种终端检测方法，应用于终端，包括：
6.获取终端中的可执行文件当前的第一校验特征；
7.将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；
8.将所述检测结果发送到管理端；
9.当接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。
10.在一些实施例中，所述第二校验特征包括多个第二子文件的第二散列值，对所述可执行文件原始的第二文件信息按照预设规则进行拆分得到多个所述第二子文件；获取终端中的可执行文件当前的第一校验特征的步骤包括：
11.获取所述可执行文件当前的第一文件信息；
12.将所述第一文件信息按照所述预设规则进行拆分，得到多个第一子文件，其中，多个所述第一子文件与多个所述第二子文件一一对应；
13.分别计算各个所述第一子文件的第一散列值，得到所述第一校验特征。
14.在一些实施例中，将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果的步骤包括：
15.将多个所述第一散列值分别与对应的所述第二散列值进行比较；
16.在每一个所述第一散列值均与对应的所述第二散列值一致的情况下，得到表征所述第一校验特征与所述第二校验特征一致的检测结果；
17.在至少一个所述第一散列值与对应的所述第二散列值不一致的情况下，得到表征所述第一校验特征与所述第二校验特征不一致的检测结果。
18.在一些实施例中，在获取终端中的可执行文件当前的第一校验特征的步骤之前，所述终端检测方法还包括：
19.当所述终端中生成所述可执行文件时，获取所述第二文件信息；
20.将所述第二文件信息按照所述预设规则进行拆分，得到多个所述第二子文件；
21.分别计算各个所述第二子文件的第二散列值，得到所述第二校验特征。
22.第二方面，本公开实施例提供一种终端检测方法，应用于管理端，包括：
23.接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；
24.在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：
25.阻止所述可执行文件运行、并删除所述可执行文件；或
26.阻止所述可执行文件运行；或
27.允许所述可执行文件运行。
28.在一些实施例中，所述终端检测方法还包括：
29.在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，生成告警信息，其中，所述告警信息包括所述可执行文件的信息；
30.生成策略日志，其中，所述策略日志用于记录所述策略指令所指示的策略。
31.第三方面，本公开实施例提供一种探针模块，应用于终端，包括：
32.计算单元，配置为获取终端中的可执行文件当前的第一校验特征；
33.检测单元，配置为将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；
34.第一通信单元，配置为将所述检测结果发送到管理端；
35.处理单元，配置为当所述第一通信单元接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。
36.第四方面，本公开实施例提供一种管理模块，应用于管理端，包括：
37.第二通信单元，配置为接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；
38.策略单元，配置为在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：
39.阻止所述可执行文件运行、并删除所述可执行文件；或
40.阻止所述可执行文件运行；或
41.允许所述可执行文件运行。
42.第五方面，本公开实施例提供一种电子设备，包括：
43.一个或多个处理器；
44.存储器，其上存储有一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述任意一种方法；
45.一个或多个i/o接口，连接在所述处理器与存储器之间，配置为实现所述处理器与存储器的信息交互。
46.第六方面，本公开实施例提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任意一种方法。
附图说明
47.附图用来提供对本公开实施例的进一步理解，并且构成说明书的一部分，与本公开的实施例一起用于解释本公开，并不构成对本公开的限制。
48.在附图中：
49.图1为本公开实施例中一种终端检测方法的流程图；
50.图2为本公开实施例中一种网络检测系统的架构示意图；
51.图3为本公开实施例中另一种终端检测方法中部分步骤的流程图；
52.图4为本公开实施例中一种终端检测方法的流程图；
53.图5为本公开实施例中另一种终端检测方法中部分步骤的流程图；
54.图6为本公开实施例中一种探针模块的组成框图；
55.图7为本公开实施例中一种管理模块的组成框图；
56.图8为本公开实施例中一种电子设备的组成框图。
具体实施方式
57.为使本领域的技术人员更好地理解本公开的技术方案，下面结合附图对本公开提供的终端检测方法、探针模块、管理模块、电子设备、计算机可读介质进行详细描述。
58.在下文中将参考附图更充分地描述示例实施例，但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之，提供这些实施例的目的在于使本公开透彻和完整，并将使本领域技术人员充分理解本公开的范围。
59.在不冲突的情况下，本公开各实施例及实施例中的各特征可相互组合。
60.如本文所使用的，术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
61.本文所使用的术语仅用于描述特定实施例，且不意欲限制本公开。如本文所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。还将理解的是，当本说明书中使用术语“包括”和/或“由
……
制成”时，指定存在所述特征、整体、步骤、操作、元件和/或组件，但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
62.除非另外限定，否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本文明确如此限定。
63.第一方面，参照图1，本公开实施例提供一种终端检测方法，应用于终端，包括：
64.s11、获取终端中的可执行文件当前的第一校验特征；
65.s12、将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；
66.s13、将所述检测结果发送到管理端；
67.s14、当接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对
所述可执行文件进行处理。
68.在本公开实施例中，终端检测系统的架构如图2所示，终端管理系统中，一个管理端至少对应一个终端，管理员通过管理端对终端进行管理。
69.在本公开实施例中，终端可以是服务器、台式机，也可以是笔记本电脑等移动设备，还可以是物联网(iot，internet of things)设备。本公开实施例对此不做特殊限定。
70.在本公开实施例对终端中的可执行文件不做特殊限定。例如，可执行文件包括但不限于终端中的二进制文件、配置信息文件、系统进程文件、注册表文件等。
71.在本公开实施例中，可执行文件的校验特征用于确定可执行文件是否被修改，可执行文件的校验特征满足：若可执行文件被修改，则修改前后计算得到的校验特征不一致；若可执行文件未被修改，则计算得到的校验特征保持不变。
72.在本公开实施例中，可执行文件原始的第二校验特征是在可执行文件产生时计算得到并存储在终端中的。在步骤s11中，可执行文件当前的第一校验特征是按照与获取第二校验特征相同的算法获取的。在步骤s12中，若第一校验特征与第二校验特征一致，表示可执行文件没有被修改；若第一校验特征与第二校验特征不一致，表示可执行文件被修改。
73.在一些实施例中，步骤s11和步骤s12是周期性执行的，例如，设置定时器，每经过一定时间则执行一次步骤s11和步骤s12。在一些实施例中，步骤s11和步骤s12是在管理端的控制下执行的，例如，响应于管理端的信令执行一次步骤s11和步骤s12。本公开实施例对此不做特殊限定。在本公开实施例中，在步骤s11中可以只获取特定的一个可执行文件的第一校验特征，并在步骤s12中将该可执行文件的第一校验特征与该可执行文件的第二校验特征进行比较，得到该可执行文件对应的检测结果；在步骤s11中也可以获取多个可执行文件的第一校验特征，并在步骤s12中分别将各个可执行文件的第一校验特征与各自的第二校验特征进行比较，得到的检测结果对应多个可执行文件。本公开实施例对此也不做特殊限定。
74.在本公开实施例中，终端通过步骤s13和步骤s14，在管理端的控制下对可执行文件进行处理。需要说明的是，本公开实施例中由管理端根据检测结果确定是否需要对可执行文件进行处理，并确定处理策略，可以避免对终端进行检测的过程占用过多计算资源而影响终端正常业务的运行，同时有利于管理端对各个终端的安全风险进行统一管控。
75.本公开实施例第一方面提供的终端检测方法中，终端实时获取可执行文件当前的第一校验特征，与可执行文件原始的第二校验特征进行比较，能够及时发现被篡改的可执行文件，并能根据管理端下发的处理策略对被篡改的可执行文件进行拦截、删除、隔离、告警等处理，从而能够及时阻止可疑文件的运行或传播，提升了终端的安全性。
76.在本公开实施例中，可以用散列值作为可执行文件的校验特征，也可以用哈希值作为可执行文件的校验特征。本公开实施例对此不做特殊限定。
77.在本公开实施例中，可以直接计算可执行文件的散列值，作为可执行文件的校验特征；也可以提取可执行文件的文件信息，并计算文件信息的散列值，作为可执行文件的校验特征；还可以提取可执行文件的文件信息，将文件信息拆分为多个子文件，然后分别计算各个子文件的散列值，将各个子文件的散列值组成的集合作为可执行文件的校验特征。本公开实施例对此不做特殊限定。
78.相应地，在一些实施例中，所述第二校验特征包括多个第二子文件的第二散列值，
对所述可执行文件原始的第二文件信息按照预设规则进行拆分得到多个所述第二子文件；参照图3，步骤s11包括：
79.s111、获取所述可执行文件当前的第一文件信息；
80.s112、将所述第一文件信息按照所述预设规则进行拆分，得到多个第一子文件，其中，多个所述第一子文件与多个所述第二子文件一一对应；
81.s113、分别计算各个所述第一子文件的第一散列值，得到所述第一校验特征。
82.本公开实施例对于预设规则不做特殊限定。在一些实施例中，预设规则限定了拆分后每个子文件的大小。例如，预设规则限定了以64字节(byte)为拆分单位，将文件信息拆分为多个64byte大小的子文件。
83.需要说明的是，在本公开实施例中，将可执行文件的文件信息拆分为多个子文件，然后计算各个子文件的散列值，能够降低单次计算散列值的计算量，从而能够避免终端计算散列值时对终端正常业务的影响，同时能够降低对终端性能的要求。
84.在一些实施例中，在将可执行文件的文件信息拆分为多个子文件、并将多个子文件的散列值的集合作为可执行文件的校验特征的场景中，只有在多个第一散列值与多个第二散列值一一对应一致的情况下，才表示可执行文件没有被修改；若至少一个第一散列值与对应的第二散列值不一致，则表示可执行文件被修改。
85.相应地，在一些实施例中，参照图3，步骤s12包括：
86.s121、将多个所述第一散列值分别与对应的所述第二散列值进行比较；
87.s122、在每一个所述第一散列值均与对应的所述第二散列值一致的情况下，得到表征所述第一校验特征与所述第二校验特征一致的检测结果；
88.s123、在至少一个所述第一散列值与对应的所述第二散列值不一致的情况下，得到表征所述第一校验特征与所述第二校验特征不一致的检测结果。
89.相应地，在一些实施例中，参照图3，在步骤s11之前，所述终端检测方法还包括：
90.s101、当所述终端中生成所述可执行文件时，获取所述第二文件信息；
91.s102、将所述第二文件信息按照所述预设规则进行拆分，得到多个所述第二子文件；
92.s103、分别计算各个所述第二子文件的第二散列值，得到所述第二校验特征。
93.第二方面，参照图4，本公开实施例提供一种终端检测方法，应用于管理端，包括：
94.s21、接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；
95.s22、在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：阻止所述可执行文件运行、并删除所述可执行文件；或阻止所述可执行文件运行；或允许所述可执行文件运行。
96.需要说明的是，管理端根据检测结果确定第一校验特征与第二校验特征一致的情况下，可以向终端发送表征校验成功的信令，也可以不向终端发送任何信令，终端保持当前的运行状态即可。本公开实施例对此不做特殊限定。
97.在本公开实施例中，由管理端根据检测结果确定是否需要对可执行文件进行处理，并确定处理策略，可以避免对终端进行检测的过程占用过多计算资源而影响终端正常
业务的运行，同时有利于管理端对各个终端的安全风险进行统一管控。
98.在一些实施例中，参照图5，所述终端检测方法还包括：
99.s23、在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，生成告警信息，其中，所述告警信息包括所述可执行文件的信息；
100.s24、生成策略日志，其中，所述策略日志用于记录所述策略指令所指示的策略。
101.需要说明的是，在本公开实施例中，生成告警信息和策略日志，有助于管理员对终端检测以及策略执行进行监控。
102.第三方面，参照图6，本公开实施例提供一种探针模块，应用于终端，包括：
103.计算单元101，配置为获取终端中的可执行文件当前的第一校验特征；
104.检测单元102，配置为将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；
105.第一通信单元103，配置为将所述检测结果发送到管理端；
106.处理单元104，配置为当所述第一通信单元接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。
107.第四方面，参照图7，本公开实施例提供一种管理模块，应用于管理端，包括：
108.第二通信单元201，配置为接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；
109.策略单元202，配置为在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：
110.阻止所述可执行文件运行、并删除所述可执行文件；或
111.阻止所述可执行文件运行；或
112.允许所述可执行文件运行。
113.第五方面，参照图8，本公开实施例提供一种电子设备，其包括：
114.一个或多个处理器301；
115.存储器302，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现本公开实施例第一方面或第二方面提供的方法；
116.一个或多个i/o接口303，连接在处理器与存储器之间，配置为实现处理器与存储器的信息交互。
117.其中，处理器301为具有数据处理能力的器件，其包括但不限于中央处理器(cpu)等；存储器302为具有数据存储能力的器件，其包括但不限于随机存取存储器(ram，更具体如sdram、ddr等)、只读存储器(rom)、带电可擦可编程只读存储器(eeprom)、闪存(flash)；i/o接口(读写接口)303连接在处理器301与存储器302间，能实现处理器301与存储器302的信息交互，其包括但不限于数据总线(bus)等。
118.在一些实施例中，处理器301、存储器302和i/o接口303通过总线304相互连接，进而与计算设备的其它组件连接。
119.第六方面，本公开实施例提供一种计算机可读介质，其上存储有计算机程序，程序
被处理器执行时实现本公开实施例第一方面或第二方面提供的方法。
120.实施例一
121.本实施例中终端检测系统包括管理端和终端，管理端中包括管理模块，终端中包括探针模块。
122.探针模块用于对终端运行过程中的可执行文件进行完整性检测，以发现终端中的安全威胁，并将检测结果发送至管理端；
123.管理端将探针设备传送过来的文件完整性检测结果在管理端进行展示，管理端根据检测结果向终端下发相应的策略。
124.探针模块包括定时检测单元、存储单元和通信单元：定时检测单元用于每隔预设时间执行检测任务，对所述终端系统中的二进制文件、关键配置文件等可执行文件进行完整性检测；存储单元用于存储探针模块在执行文件完整性检测过程中计算的散列值；通信模块用于终端与管理端之间的通信。
125.管理模块包括通信单元、告警单元、策略单元和日志单元：通信单元用于管理端和终端之间的通信，处理终端传送的文件完整性检测的检测结果，并将检测结果传送到策略单元；告警单元用于将文件完整校验失败的可执行文件文件以告警的形式告知管理员；策略单元对通过通信单元传上来的终端文件检测结果进行分析，并对所述文件完整校验失败的文件执行策略动作，策略动作包括：阻止并删除、阻止、放行。每个策略动作的执行会产生相关的日志，并通过日志单元进行记录。日志单元用于将所有可执行文件的完整性检测结果在管理端以日志的形式列出。
126.实施例二
127.本实施例中终端检测的过程包括：
128.终端中的探针模块隔预设时间执行一次检测，获取终端中二进制文件、关键配置文件等原始可执行文件中的文件信息，将其分成n个64byte的子文件，对每个子文件进行散列计算，得到n个对应的第二散列值(n为自然数)；
129.将n个对应的第二散列值在终端本地进行存储；
130.终端中的探针模块每隔24小时运行一次检测，获取终端中的二进制文件、关键配置等新的可执行文件中的文件信息，将其分成n个64byte的子文件，对每个子文件进行散列计算，得到n个对应的第一散列值；
131.将n个对应的第而散列值在终端本地进行存储；
132.一一对应比较第一散列值和第二散列值，如果一致，则校验成功，证明文件未被破坏；如果不一致，则校验失败，证明文件被破坏，且该文件对终端系统可能存在威胁；
133.终端将校验结果传送至管理端，对校验失败的可执行文件，管理端将触动告警，针对该可执行文件下发相应的策略并以日志形式列出。
134.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件
可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其它存储器技术、cd-rom、数字多功能盘(dvd)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据，并且可包括任何信息递送介质。
135.本文已经公开了示例实施例，并且虽然采用了具体术语，但它们仅用于并仅应当被解释为一般说明性含义，并且不用于限制的目的。在一些实例中，对本领域技术人员显而易见的是，除非另外明确指出，否则可单独使用与特定实施例相结合描述的特征、特性和/或元素，或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此，本领域技术人员将理解，在不脱离由所附的权利要求阐明的本公开的范围的情况下，可进行各种形式和细节上的改变。

技术特征：
1.一种终端检测方法，应用于终端，包括：获取终端中的可执行文件当前的第一校验特征；将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；将所述检测结果发送到管理端；当接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。2.根据权利要求1所述的终端检测方法，其中，所述第二校验特征包括多个第二子文件的第二散列值，对所述可执行文件原始的第二文件信息按照预设规则进行拆分得到多个所述第二子文件；获取终端中的可执行文件当前的第一校验特征的步骤包括：获取所述可执行文件当前的第一文件信息；将所述第一文件信息按照所述预设规则进行拆分，得到多个第一子文件，其中，多个所述第一子文件与多个所述第二子文件一一对应；分别计算各个所述第一子文件的第一散列值，得到所述第一校验特征。3.根据权利要求2所述的终端检测方法，其中，将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果的步骤包括：将多个所述第一散列值分别与对应的所述第二散列值进行比较；在每一个所述第一散列值均与对应的所述第二散列值一致的情况下，得到表征所述第一校验特征与所述第二校验特征一致的检测结果；在至少一个所述第一散列值与对应的所述第二散列值不一致的情况下，得到表征所述第一校验特征与所述第二校验特征不一致的检测结果。4.根据权利要求2或3所述的终端检测方法，其中，在获取终端中的可执行文件当前的第一校验特征的步骤之前，所述终端检测方法还包括：当所述终端中生成所述可执行文件时，获取所述第二文件信息；将所述第二文件信息按照所述预设规则进行拆分，得到多个所述第二子文件；分别计算各个所述第二子文件的第二散列值，得到所述第二校验特征。5.一种终端检测方法，应用于管理端，包括：接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：阻止所述可执行文件运行、并删除所述可执行文件；或阻止所述可执行文件运行；或允许所述可执行文件运行。6.根据权利要求5所述的终端检测方法，其中，所述终端检测方法还包括：在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，生成告警信息，其中，所述告警信息包括所述可执行文件的信息；生成策略日志，其中，所述策略日志用于记录所述策略指令所指示的策略。
7.一种探针模块，应用于终端，包括：计算单元，配置为获取终端中的可执行文件当前的第一校验特征；检测单元，配置为将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；第一通信单元，配置为将所述检测结果发送到管理端；处理单元，配置为当所述第一通信单元接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。8.一种管理模块，应用于管理端，包括：第二通信单元，配置为接收终端发送的检测结果，其中，所述检测结果表征所述终端中的可执行文件当前的第一校验特征与所述可执行文件原始的第二校验特征是否一致；策略单元，配置为在所述检测结果表征所述第一校验特征与所述第二校验特征不一致的情况下，根据所述检测结果生成策略指令，并将所述策略指令下发到所述终端，其中，所述策略指令所指示的策略包括：阻止所述可执行文件运行、并删除所述可执行文件；或阻止所述可执行文件运行；或允许所述可执行文件运行。9.一种电子设备，包括：一个或多个处理器；存储器，其上存储有一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现根据权利要求1至6中任意一项所述的方法；一个或多个i/o接口，连接在所述处理器与存储器之间，配置为实现所述处理器与存储器的信息交互。10.一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现根据权利要求1至6中任意一项所述的方法。

技术总结
本公开提供一种终端检测方法，应用于终端，包括：获取终端中的可执行文件当前的第一校验特征；将所述第一校验特征与所述可执行文件原始的第二校验特征进行比较，得到检测结果，其中，所述检测结果表征所述第一校验特征与所述第二校验特征是否一致；将所述检测结果发送到管理端；当接收到所述管理端下发的策略指令时，根据所述策略指令所指示的策略对所述可执行文件进行处理。本公开实施例还提供一种探针模块、一种管理模块、一种电子设备、一种计算机可读介质。算机可读介质。算机可读介质。


技术研发人员：何武红 韩欣 涂俊
受保护的技术使用者：中电长城网际系统应用有限公司
技术研发日：2022.03.25
技术公布日：2023/10/6