栏目导航
热点推荐
- 服务器安全配置:常用的WEB服务器
- Linux服务器安全之四种攻击级别
- 利用麦咖啡打造超安全的Web站点
- SYN攻击原理与防范技术
- 防止对WEB应用服务器的三种攻击
- 黑客怎样攻破SQL服务器系统
- 资深Linux系统管理员网络安全经
- 检测SQL Server是否有特洛伊木马
- 基础教程篇:五个方面何防止网站
- 分析系统中木马病毒的运行方式
- 配置IIS蜜罐与黑客攻击
- 一份详细的服务器安全解决方案
阅览排行
自动化网页木马分析:纯静态分析和沙盒分析
www.jz123.cn 2010-04-07 来源: 中国建站 责任编辑(袁袁) 我要投递新闻
现在网上的网页木马多是几套固定的代码,变化并不多,包括脚本代码的加密方式,几乎也都是解释型的加密,由于黑客都是进行的流程化挂马,老外对于自动化分析网页木马也已经有了丰厚的成果。国内我所见过的自动化网马分析系统有知道创宇、360安全卫士和安恒等,其他包括国内的各大杀毒安全公司,应该也都有一套自己的网马分析系统。
自动化分析网页木马需要一个好的页面分析系统,分离页面中的各种静态元素资源和脚本内容,同时需要一个模拟的脚本解释引擎和沙盒环境等。我这里仅说下我的两个小思路:
1.纯静态分析
只需要取到页面的静态内容,仅仅需要使用正则匹配分离出HTML内容和脚本内容,直接分析HTML内容,剩下的将分离出来的脚本内容丢给脚本解释引擎执行,当然这里有些小瓶颈,但我们可以改造脚本解释引擎,对某些网马所使用的关键函数进行处理,不难分离OBJECT和SHELLCODE之类的关键内容。javascript的解释引擎我们可以选择蜘蛛猴,当然这个东西有个致命的缺点,如果黑客使用VBSCRIPT或者封装代码进入FLASH等没有静态代码内容的文件执行脚本的话,很难再进行自动分析。
2.沙盒分析
鉴于第一种方式的种种缺点,我们仍然可以使用沙盒方式分析,直接把网马丢到真实的浏览器中跑,但之前我们需要使用第一个老思路先使用解决到几个关键的脚本函数,类似下脚本断点吧,输出关键内容或针对脚本的行为进行分析。IE的话我们可以使用COM HOOK,而FF甚至不需要大力气我们可以直接使用Greaseamonkey插件等。
以上仅仅是隐晦的说了两个小思路,没有涉及实际内容。我也是在慢慢摸索,“黑客”的挂马方式肯定是会越来越高级,我更倾向于沙盒分析。
上一篇:记录远程登陆服务器的用户名的方法 下一篇:DDoS deflate:自动屏蔽DDOS攻击者IP