# 文件木马检测 
文档更新时间（2024/12/12）
___

UHIDS主机入侵检测自主研发的文件木马检测功能,拥有代码分析、数据流分析、异常网络流量分析等多种检测手段, 并结合使用云端大数据分析和静态规则相结合的检测体系、分析恶意代码文件等手段,能够发现具有隐匿性的文件木马病毒。

## 检测原理

UHIDS主机入侵检测会检查服务器上特定目录和进程情况,结合静态规则与云端病毒库来判断该进程和文件是否是木马,如果是则会告警.

## 检测周期

- 插件启动默认立即行扫描检测
- 定时默认每2个小时检测一次
- 清理风险后,2小时内会对该风险再次检测,如果发现风险已经修复,会自动删除该条告警。

## 检测项

| 检测项    | 说明                   |
| ------ | -------------------- |
| Rootkit | 支持Rootkit文件后门检测          |
| shell   | 支持shell脚本文件后门检测          |
| so      | 支持动态链接库文件后门检测     |
| sshd    | 支持sshd文件后门检测     |