現在網上的網頁木馬多是幾套固定的代碼，變化并不多，包括腳本代碼的加密方式，幾乎也都是解釋型的加密，由于黑客都是進行的流程化掛馬，老外對于自動化分析網頁木馬也已經有了豐厚的成果。國內我所見過的自動化網馬分析系統有知道創宇、360安全衛士和安恒等，其他包括國內的各大殺毒安全公司，應該也都有一套自己的網馬分析系統。

自動化分析網頁木馬需要一個好的頁面分析系統，分離頁面中的各種靜態元素資源和腳本內容，同時需要一個模擬的腳本解釋引擎和沙盒環境等。我這里僅說下我的兩個小思路：

1.純靜態分析

只需要取到頁面的靜態內容，僅僅需要使用正則匹配分離出HTML內容和腳本內容，直接分析HTML內容，剩下的將分離出來的腳本內容丟給腳本解釋引擎執行，當然這里有些小瓶頸，但我們可以改造腳本解釋引擎，對某些網馬所使用的關鍵函數進行處理，不難分離OBJECT和SHELLCODE之類的關鍵內容。javascript的解釋引擎我們可以選擇蜘蛛猴，當然這個東西有個致命的缺點，如果黑客使用VBSCRIPT或者封裝代碼進入FLASH等沒有靜態代碼內容的文件執行腳本的話，很難再進行自動分析。

2.沙盒分析

鑒于第一種方式的種種缺點，我們仍然可以使用沙盒方式分析，直接把網馬丟到真實的瀏覽器中跑，但之前我們需要使用第一個老思路先使用解決到幾個關鍵的腳本函數，類似下腳本斷點吧，輸出關鍵內容或針對腳本的行為進行分析。IE的話我們可以使用COM HOOK，而FF甚至不需要大力氣我們可以直接使用Greaseamonkey插件等。

以上僅僅是隱晦的說了兩個小思路，沒有涉及實際內容。我也是在慢慢摸索，“黑客”的掛馬方式肯定是會越來越高級，我更傾向于沙盒分析。

【編輯推薦】

1. 國內資深黑客詳談網頁木馬
2. 網頁木馬深度剖析以及手工清除
3. SEO工具軟件和SEO自動化簡介