網(wǎng)頁(yè)木馬分析

黑客最新的武器即網(wǎng)頁(yè)木馬目前正在流行，現(xiàn)在網(wǎng)上的網(wǎng)頁(yè)木馬多是幾套固定的代碼，變化并不多，包括腳本代碼的加密方式，幾乎也都是解釋型的加密，由于黑客都是進(jìn)行的流程化掛馬，國(guó)外對(duì)于自動(dòng)化分析網(wǎng)頁(yè)木馬也已經(jīng)有了豐厚的成果。國(guó)內(nèi)技術(shù)還不很成熟。

1.純靜態(tài)分析

只需要取到頁(yè)面的靜態(tài)內(nèi)容，僅僅需要使用正則匹配分離出HTML內(nèi)容和腳本內(nèi)容，直接分析HTML內(nèi)容，剩下的將分離出來(lái)的腳本內(nèi)容丟給腳本解釋引擎執(zhí)行，當(dāng)然這里有些小瓶頸，但我們可以改造腳本解釋引擎，對(duì)某些網(wǎng)馬所使用的關(guān)鍵函數(shù)進(jìn)行處理，不難分離OBJECT和SHELLCODE之類的關(guān)鍵內(nèi)容。javascript的解釋引擎我們可以選擇蜘蛛猴，當(dāng)然這個(gè)東西有個(gè)致命的缺點(diǎn)，如果黑客使用VBSCRIPT或者封裝代碼進(jìn)入FLASH等沒(méi)有靜態(tài)代碼內(nèi)容的文件執(zhí)行腳本的話，很難再進(jìn)行自動(dòng)分析。

2.沙盒分析

鑒于第一種方式的種種缺點(diǎn)，我們?nèi)匀豢梢允褂蒙澈蟹绞椒治?，直接把網(wǎng)頁(yè)木馬丟到真實(shí)的瀏覽器中跑，但之前我們需要使用第一個(gè)老思路先使用解決到幾個(gè)關(guān)鍵的腳本函數(shù)，類似下腳本斷點(diǎn)吧，輸出關(guān)鍵內(nèi)容或針對(duì)腳本的行為進(jìn)行分析。IE的話我們可以使用COM HOOK，而FF甚至不需要大力氣我們可以直接使用Greaseamonkey插件等。

黑客的掛馬方式肯定是會(huì)越來(lái)越高級(jí)，文章作者更傾向于沙盒分析。以上僅僅是隱晦的說(shuō)了兩個(gè)小思路，沒(méi)有涉及實(shí)際內(nèi)容。也希望讀者能夠慢慢摸索。

【編輯推薦】

1. 最新高危木馬“鬼影2”現(xiàn)身
2. 游戲殺手 cf飛天外i掛帶木馬病毒
3. 黑客利用Adobe漏洞定點(diǎn)攻擊 警惕xls文件