分析黑客網頁掛馬如何自動化的小竅門
作者:佚名
自動化分析網頁木馬需要一個好的頁面分析系統,分離頁面中的各種靜態元素資源和腳本內容,同時需要一個模擬的腳本解釋引擎和沙盒環境等。本文僅說兩個小思路供大家參閱。
網頁木馬分析
黑客最新的武器即網頁木馬目前正在流行,現在網上的網頁木馬多是幾套固定的代碼,變化并不多,包括腳本代碼的加密方式,幾乎也都是解釋型的加密,由于黑客都是進行的流程化掛馬,國外對于自動化分析網頁木馬也已經有了豐厚的成果。國內技術還不很成熟。
1.純靜態分析
只需要取到頁面的靜態內容,僅僅需要使用正則匹配分離出HTML內容和腳本內容,直接分析HTML內容,剩下的將分離出來的腳本內容丟給腳本解釋引擎執行,當然這里有些小瓶頸,但我們可以改造腳本解釋引擎,對某些網馬所使用的關鍵函數進行處理,不難分離OBJECT和SHELLCODE之類的關鍵內容。javascript的解釋引擎我們可以選擇蜘蛛猴,當然這個東西有個致命的缺點,如果黑客使用VBSCRIPT或者封裝代碼進入FLASH等沒有靜態代碼內容的文件執行腳本的話,很難再進行自動分析。
2.沙盒分析
鑒于第一種方式的種種缺點,我們仍然可以使用沙盒方式分析,直接把網頁木馬丟到真實的瀏覽器中跑,但之前我們需要使用第一個老思路先使用解決到幾個關鍵的腳本函數,類似下腳本斷點吧,輸出關鍵內容或針對腳本的行為進行分析。IE的話我們可以使用COM HOOK,而FF甚至不需要大力氣我們可以直接使用Greaseamonkey插件等。
黑客的掛馬方式肯定是會越來越高級,文章作者更傾向于沙盒分析。以上僅僅是隱晦的說了兩個小思路,沒有涉及實際內容。也希望讀者能夠慢慢摸索。
【編輯推薦】
責任編輯:佚名
來源:
計世網
