現(xiàn)在網(wǎng)上的網(wǎng)頁木馬多是幾套固定的代碼，變化并不多，包括腳本代碼的加密方式，幾乎也都是解釋型的加密，由于黑客都是進(jìn)行的流程化掛馬，老外對(duì)于自動(dòng)化分析網(wǎng)頁木馬也已經(jīng)有了豐厚的成果。國內(nèi)我所見過的自動(dòng)化網(wǎng)馬分析系統(tǒng)有知道創(chuàng)宇、360安全衛(wèi)士和安恒等，其他包括國內(nèi)的各大殺毒安全公司，應(yīng)該也都有一套自己的網(wǎng)馬分析系統(tǒng)。

自動(dòng)化分析網(wǎng)頁木馬需要一個(gè)好的頁面分析系統(tǒng)，分離頁面中的各種靜態(tài)元素資源和腳本內(nèi)容，同時(shí)需要一個(gè)模擬的腳本解釋引擎和沙盒環(huán)境等。我這里僅說下我的兩個(gè)小思路：

1.純靜態(tài)分析

只需要取到頁面的靜態(tài)內(nèi)容，僅僅需要使用正則匹配分離出HTML內(nèi)容和腳本內(nèi)容，直接分析HTML內(nèi)容，剩下的將分離出來的腳本內(nèi)容丟給腳本解釋引擎執(zhí)行，當(dāng)然這里有些小瓶頸，但我們可以改造腳本解釋引擎，對(duì)某些網(wǎng)馬所使用的關(guān)鍵函數(shù)進(jìn)行處理，不難分離OBJECT和SHELLCODE之類的關(guān)鍵內(nèi)容。javascript的解釋引擎我們可以選擇蜘蛛猴，當(dāng)然這個(gè)東西有個(gè)致命的缺點(diǎn)，如果黑客使用VBSCRIPT或者封裝代碼進(jìn)入FLASH等沒有靜態(tài)代碼內(nèi)容的文件執(zhí)行腳本的話，很難再進(jìn)行自動(dòng)分析。

2.沙盒分析

鑒于第一種方式的種種缺點(diǎn)，我們?nèi)匀豢梢允褂蒙澈蟹绞椒治?，直接把網(wǎng)馬丟到真實(shí)的瀏覽器中跑，但之前我們需要使用第一個(gè)老思路先使用解決到幾個(gè)關(guān)鍵的腳本函數(shù)，類似下腳本斷點(diǎn)吧，輸出關(guān)鍵內(nèi)容或針對(duì)腳本的行為進(jìn)行分析。IE的話我們可以使用COM HOOK，而FF甚至不需要大力氣我們可以直接使用Greaseamonkey插件等。

以上僅僅是隱晦的說了兩個(gè)小思路，沒有涉及實(shí)際內(nèi)容。我也是在慢慢摸索，“黑客”的掛馬方式肯定是會(huì)越來越高級(jí)，我更傾向于沙盒分析。

【編輯推薦】

1. 國內(nèi)資深黑客詳談網(wǎng)頁木馬
2. 網(wǎng)頁木馬深度剖析以及手工清除
3. SEO工具軟件和SEO自動(dòng)化簡介