黑基网 首页 服务器 Windows Server 查看内容

分析网页木马分析自动化的2个窍门

2009-4-23 10:34| 投稿: winserver

摘要:   现在网上的网页木马多是几套固定的代码,变化并不多,包括脚本代码的加密方式,几乎也都是解释型的加密,由于黑客都是进行的流程化挂马,老外对于自动化分析网页木马也已经有了丰厚的成果。国内我所见过的自动化...
  现在网上的网页木马多是几套固定的代码,变化并不多,包括脚本代码的加密方式,几乎也都是解释型的加密,由于黑客都是进行的流程化挂马,老外对于自动化分析网页木马也已经有了丰厚的成果。国内我所见过的自动化网马分析系统有知道创宇、360安全卫士和安恒等,其他包括国内的各大杀毒安全公司,应该也都有一套自己的网马分析系统。   自动化分析网页木马需要一个好的页面分析系统,分离页面中的各种静态元素资源和脚本内容,同时需要一个模拟的脚本解释引擎和沙盒环境等。我这里仅说下我的两个小思路:   1.纯静态分析   只需要取到页面的静态内容,仅仅需要使用正则匹配分离出HTML内容和脚本内容,直接分析HTML内容,剩下的将分离出来的脚本内容丢给脚本解释引擎执行,当然这里有些小瓶颈,但我们可以改造脚本解释引擎,对某些网马所使用的关键函数进行处理,不难分离OBJECT和SHELLCODE之类的关键内容。javascript的解释引擎我们可以选择蜘蛛猴,当然这个东西有个致命的缺点,如果黑客使用VBSCRIPT或者封装代码进入FLASH等没有静态代码内容的文件执行脚本的话,很难再进行自动分析。   2.沙盒分析   鉴于第一种方式的种种缺点,我们仍然可以使用沙盒方式分析,直接把网马丢到真实的浏览器中跑,但之前我们需要使用第一个老思路先使用解决到几个关键的脚本函数,类似下脚本断点吧,输出关键内容或针对脚本的行为进行分析。IE的话我们可以使用COM HOOK,而FF甚至不需要大力气我们可以直接使用Greaseamonkey插件等。   以上仅仅是隐晦的说了两个小思路,没有涉及实际内容。我也是在慢慢摸索,“黑客”的挂马方式肯定是会越来越高级,我更倾向于沙盒分析。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部