网页木马的防御与检测技术
I 丝 丝………络………………… 一
网木马页 防的御与检测 技术
京南市公安 局玄武分局网 安大队夏 虹
【 要摘】计 算机络技术不网发断展 现,在算机互联网计已经被应 用人到们生工活 作的各 个领域。中 是基但于 联互网 使用特 ,点其为在们人来带方便同 的,时也来带了一定 的 全安胁威, 其网中木马页比较是见的一种问常题。虽现然大部在 分人都能掌握计 够算的机基本操 作但是受专业,术 技与全安意 识响 ,影经会常因为安 保护全 日常与作
操 当不 而中,毒响计算影机的常正使。本用基于文网木页马毒的病害危对 其,的御防与检 测技 术进行 分析 了。
【 关 键词网】木马 ;页防御;测检
计算机互联 网使 用有具放 性、开弱脆 性 以 不安及性全,在计算 机技 快术速发展 的背 景下 计,机算全安问题 也 日 益严重 , 最 典为的型是就户用到大受模木规马、计 算 机毒攻击 。病在木马病 毒 中网,页马 木 多简之 单并,传播且度 快速、破力强坏 、 变种 式形多等特点,已 经成 为恶程序意 传 的主要形播式一之, 对人们使 用互网造 联成
严重 胁威。 针 对 此, 必 须 结要 合 其 特点 ,加 强 网 页 对 马 木御 与防 检 测 术技的 研 究 。 网 页 木 马 简析 l |网 页木 马 攻 原 理 击页网马木本质 为一个上HT M L 网页,由 网攻络击 者作 制一旦访 ,问此网页 就会中 木 马。此网页 的脚本中,主 是通要利用过 I 浏E器 、览件软以 系及 的统洞 漏,通 I 过 E 在 后 台自 下动 载放在置网空 间络 的上木 马 安装并 运行 。普通的 网页在打开后 并不会 自动 下载与运 行序程 主要 ,为因I E 浏览器 禁 止自动 下,载但因为是在存洞 ,漏正好 被 网页木 所利 用。马 前常见目的网页 马木 主 要 利是用 WSH 、 Js . Ac t i ve X 同共合 作来 完 成 对 户客 端计 算机 的 控 制 。 .2 页木 马网攻实现击方法 ( 1 )放 置 木马 到制 定 目录 将 马木程 度放 置 到计算 机内指定 的 录目 内将,其伪 成装 系 文 统件。 即调用 S c r ip it ng . Fi l e S ys t em Ob e tj 组 完 成件 己 下载 木程序马的 拷 ,并贝将 放置其在定制 目 录 ,完成相中应件夹与文文件 的 重名 命 、
一二
网 页、 马 攻木 方 击式研 究1 . 主动攻 击
完全 有效的 检 测挂出 马 面 页。
( 3) 漏洞模拟检测
此 种 检 测方 法 最 为 见常的为 P H o n e y C , 主
要是低在互交式户客端蜜 罐环境中 解 析 页 面并 用 一个 独 的立脚 本引 擎 行 执提 出 的取本脚 ,后然利用这个脚本 在引上擎文下 中模 拟 出部 已经 掌分 握的 漏洞 插 件 ,最 后 结 运合时行的 数来确定参检测境 中存环 在的恶意脚 本。此 种测方法主检作 要于低 用互式客交户端罐 ,蜜比交互式客高端户蜜
过通欺骗 引与诱方式等 诱, 用导访户 问设 置 有
页网 马木 的网 站, 一 旦 户用访 网 站问, 点击存 在 木马 的网 , 页 有就 可能 感 恶染 意件软,是一 种比较 常 的攻击见 方 式此 种 。攻击 方式 常见 于 坛论 博、 客 、 天聊室等户用 比较集 的区中 域另外,有还发 布 种各色 内容情 链接的、在 线戏聊天游 频道 内中 奖 信 等 息。 .2被 动 攻 击 主 要 是 击攻 者 通 过 入侵访 问量 大 的 网 站然,后在此 网 站插内入网 页木代码马, 例如高校网站被挂 马 ,样这在 考 以及生其 他用户 访 问此 网类后站, 就被木会 或马者 其 他 病毒 集中 , 是 现 计 在 机算互 网 联比 较 常见 的页网木马事件 。在很 现多高校 校园 中 行流通 i ̄ _ AP P插 入 恶意 网 链 页 , 接 学生在 访 问后 , 有 可很 能就会 病 毒中。 网 页 木
马、
罐
果更效好 ,够能利更短用 的间时,准 确的 拟 出模多漏更洞块模 甚至 ,模能 拟出同 洞 漏不 同版本 。但是 ,的种此检 测法
一
方也 具 备 定 一局 限的 ,这 性是因为 采 用 了一
个独 立的脚本引 擎脚本执,过程 中行经 常
会 为因缺 少 页面 上 下 环 境文 以及 浏 览,器 提供 给脚 一本 A些 PI ,而 最 终 导致 本脚执行 失败 ,检运行测迫被止 。 停 . 网2页木 马 范防 技术 (1 )网服务站器端挂防范 马 为提高击攻脚本或攻击者 页 面客户 的加端量载 ,以 及增强蔽隐,性对互联 网 上 大量 网 页 木 挂马马 进行 击攻 , 必 须要 做好 站网服 器务 端 网 页 木挂马 的马防 管 范理 。 因 为网页 挂 马途径 众 多 ,利如用 内 容 注 入 以 及利 网用服 务站器系统 洞等,其 漏中利 用漏挂洞是最马 常为的见种一 攻击,者在 发 系现统 漏 后 洞获, 取 应相 权 限后 , 完成 网页 页 的面 篡 ,改针 对此 情 种况 站 网服 务 器可 通 过以及 时 打系 统补丁 , 或 部者 一 署些入侵 检 测 系统来 增强 网站的安 性 。全 2( )脚 本 重 写 用B利r w s e r S hi le 在d代 理 处 并 不判 页定面否含
是有恶 内容 意而是重 写页,面 中 的脚本 ,即用 一个 自定 义 脚 本 对 页 库 脚 面 本中函 调 数 用 、属性 获 取 等操 作 来 进 行 封 装封,装 的 函数 包含中 有一些 实 时 安的全 检 代查,码够能完对成 知漏已 洞数 的参函 数 长超症进等行网页木 的马测检 J 被。重
的被 攻击动于 目标属不集 的攻击方 中, 式 要只访问 到网该 的用站 ,户都有可 会能 感染其 所网页木马带种植的恶 软意件,最终
致 各导类 电 子 号账 密 被码 盗 如,Q Q 密 码、 游 戏 账号 以及银 行账 密户码 。 等三 网、页马木防与御检技测术析 1 . 分大模规页网挂检测 马( 1 ) 于行为特征检测基 此 种 页木马检网测方 通常式被用于高 交 互 式 客户 蜜罐 端中, 实 上质就 是 针 对 浏览器 在存 漏洞的, 而在 测检境 环安中装真 是 浏 览器 ,以及一 些 带有 漏 的洞插 件 ,然 移动 及删以除操等…。作 后 驱动览浏器访问 检测 页待, 面访以问 过 (2 ) 下 木载 马程 程 中注序表册变 化、新建程进以及 件系统文 使用 i c M r s o oft . X M H T LT P对 象与 AD DO .B 变 化 方面等 特征来 判 此断 网 是页否被 挂 tS era m 对 将象 网 上 站 前提 设 的置木 马 文 件 马 。 于对已 被 经 感 的 计染算 机 , 为 防 止 恶 下到载客户计端机上 算,其 M 中 i cro s o tf. 程 意 序 续继在 本 地 络网中 的 传播 , 高 交互 X M LH T TP 对 象 负 责 获 取 木 文马 件数 据 , 式而 客 户端蜜 罐 一般 会 设 在 置拟虚 中 机, A D并 O BD S. tr e a m 对 象而 成 完将木 马文件保 取一采 的定网 隔络离措进行处理。施 在 客 存 端户 计 算 机 磁盘 ( 2。) 反 病 毒 引擎扫 描 ( 3) 入注马木病毒 此种 网 木马检页测方是法用 比较早使 向 客户 端 计 算 中 注 机 木 马入程 序 存在 的 一种 ,主 要是 过 通 规则 或者 特码 匹 征配 种方法多,一般情下,对况于 otm 组件形 式 来 确定检页测 面中否是在挂 存马况 。情此 木 ,作 马会将者c o m 件组做 成 浏览“ 插器 种检测 方 式应的用, 可以 更速 的完快成 检 件 ”、 “ Sh e l l扩展 ” 、 “ 址地 栏 挂 钩”、 测过程,是但从整上来看体 存在 ,定的 一“ O f f i ce 的 d dA n i程”序及 以 网“协络议 漏报劫情况 。这是因为如仅果仅依靠种纯一 持 插件” 等
形式, 后将然注其入计算机 静到特 征匹态配不无对能 抗网木页马为 了 提系统 。 高秘性而采隐用 混的面淆机制杀, 样在 这此 种 方 还式需 进 行要 注册 表 修 改 操 检 测时会就 出现定一的 楼率爆 并且。, 选 ,脚 本作程序 够 通 过 能 调W用 c S r p ti .S e h ll 择 此 种 检 测方 时法 , 检 测人员 习 惯 对只单 对象的R eg R ea d 、 R e W g r i t 、eR eg e Dl t e 方 面进e行 扫 描 , 很 少 对 页面动 态 视 中 的 图内 来法成对完注表册的操作 。 嵌 脚本及以 内嵌面页行进扫 ,描进而 不
一能
写的面在客页户端加载时被,能 够自主执
行封 装 函数包 定 期 的中安全 检 ,查 如果发 现己知漏 中相洞 匹 配漏 的 洞则 ,该段 本脚 停 运止 行进,能而增强够网 运页行的 安全
。 性
四、结束 语 计算 机络网术 的技速快 展,发一步进
加了强联互网技所具有术 功 的,能为人 们 活生作工带来大更方的 。但是受便联 网互 运 特行点 响影在,用过程使 经常会 中出现 各 类问题, 中其页网马是木比较 见常的一 种 影 响比,较恶 。在对 劣网木马页行进 处
2
6 4一 屯 子界
…世
…
…
…
…
…
…
…
……
.
厦终
地一 一l
当 前
计 算视网 络 技 术 用应常 见 问题
广 西 桂林市播广电 影视电 局方 强 高
【摘要 】 2 1世纪是信息 术技 飞速发展的 时代,络技术在人们网社会的 生活 中发 挥至关了重的要作用 网络。技的术日 成渐 ,熟意着它进味入了前 未所有的高发速展段阶。然 而,
在计 机算网 络技术 应用的程 中过也,暴露 出了一些 题问 本文将主要,围绕这 主一展题 开 。
【关键词 】 计 算网机;应络;问用题
网 技络术 应 用 社 于会 生 产 活 的生各 个 域领 缩, 短 信了息输传 的距 ,离实现 了人 与人 之 间 的 无 障碍沟 通 ,使 得人 不 们出门 而 尽 天知 事 。下 近 来年, 网 在络人生活和 工们作 中 的作 用越来 明显越, .但是 在网中还存在着 很络多 安 全 隐 患 , 这些隐 给患 户用带 来 巨了 的大损 失,因需而要取采 应的对相解策决
这 些问题。
1 .计算 机络网术的技念 概确切 地 ,说 计机算网络 术 技通过是 殊特通的线信 ,路不 将地域同 的一台多或台 计 机算接起连来 并,用指利 定网的络议协 或 管 软 件 理使 之相 互协 调 ,最 实终 现信 息 递 传 及资 源 共 的 享计算 机 技术[ 1]
简 来单 ,说计算机 络技术就是网计算机技术与 通 信 技 术 的结合 , 一 方 使面 得计算 机 效 能的 到得最大程 度的挖 掘, 一方另 面也使促通 网络信利用计算机 终端现实了 信息沟通与 资 源享共 。 2. ’ 计算机网络技术应分用析 得 益 于 计 机 算网 络的 多 功能 性 , 在 它行各各都得业 了到泛 的使广 。用用户利用 计 算 机 网络 , 可以实 资现 源共享的。 因 此, 在 教 育 门 部 、医院 以及 其 他的 领 域使 用计 机算网络 技 有术于加强其助 内部信 息资 源 的 管理 。 如在例 医信院息 建方面设,计算 机网 络技 术就 挥着重 要的发作用。 医院在信 息管理 时通常会使 用,到计算机的 据数 、 库 网 中络的媒体多 术技以及通 等信功 能。管 理 人 可员 利 以用 多媒 体 术 技采集 和 合整医 院 中 的音 频 等信 息 同 , 时 用 通利信 等 能功 对患者做 程远的 疗医观察 。简 言之 医疗 ,人 员 可 以 过 通网 来 络 找查患 者 信 的息 ,确 定 患者 的 病症 ,从 而 做 相 好应 诊 治 的 措施 。 此外 网,络 术技也助力于医院 数字化 管 理的发。展 例如 在,医 院 药 管房 方 面理, 运用 网 掌 握药络房 内 药的物 购 以及入消 等 费情 ,况且 并做相关 好的 录记;或者用 利络 网通讯 能 功,方 便疗医人员 查找者患 情病 情况 通。 计算过机网络技 的术应 ,促用进 医院 的息化建设信 。 3 常.问题分见 析计算 机 网络 术技应用在 给我带方们便 理时 ,需要确明攻击其 与感染 方式 的,然 后 从 多个方面进 分析行 选,择适合 方 式的 进行管理 争,不取断提 浏览高运行 器的
安全 。 性
的
同 时也,可避 免不的在存着很多 全 安 隐 患,主要现在 以下的表个三面。 方1 网络的外)入侵来 外来入 是指侵自身 的 络网到恶受 的意 入 侵 ,而从致计导算机的系统 出现 痪瘫 问题。这种现象等并是不个 ,例多许用在 使户用 网络 务服 的 时 候都 多或或 少 地 遇到 过 外 来的 干 。扰一些 客 黑对会某 些 网 进络行 攻 击,从而控制 用户 的 电 来脑到某达特种 殊的 目的 。一些 有没任 安何全范防施措 的 电 脑会更成黑客入为的对象侵 。 2 用户)全 意安识薄 弱很多用户 虽然具使备 用网 络能力 , 的 但 无却 法做到规 范 和 安全的 使 网用络技 术, 由此 导 致了自身 的信 息 出 现泄 漏 等 况 情。用户 自身 缺 安乏 全 意 识, 在上 的过网 程 中 会进 入 到 一 非 法 些
的 网站 , 么 这 些那 网站 就盗会取用户的 个人信息。 3 系统) 本的漏身 洞网络系统本身 在存漏洞 着设计者,在 设 计网系络 统时候很的将难漏 填补 洞,用 户 在使 用 算计机 时 的 候就常 常会 出现 息 信 盗等 被况情 由此 ,。户用 需对系统之 要 的中安 隐 患全 题问加 以重 视 。
4 ) 不抗 力 可素
因进行 检测 防 止,外 来黑 客 侵 入 这,样 就能 够保证用户系信息的安全 统 。2 )建 设安全 理 的机 管制 全 安管理机制 能的够加规更 网络运 范行,为 网 信 络息 安全的提 供了一 定 保 的,可 障以建适合个立人 要需的防火 墙 与电 脑 安 设 置 。全 过经合 理 配建 的适 合 计 机算 操 作 系 统 的防 火墙 能, 够抵 御一般 性网 络 黑和 客毒病攻 击,而行 进电脑 全安 置设则 是个一 期性的长程 ,除 工在计了算 机络网
安全
软件 设置 的中互配相 比还 ,要需借助 电 安全 设脑置提 高 个人 进 行 网络操 作 时的
安 全 意 识, 从 而 降低计 算 机 络网 安 风全 险。 3) 加强 安 防全范 意识 管理人 需员重要视 网信息 络安全的 管 理 , 在日 的 工 常作中强 化 自身的 全 管安理 防范意识,规范 化身自的 操 。对 于个作 人 而 言 , 则是要 努 做 力 到 过加通密 和 备 ,份 更 好地保 个护人 关键数 据 。笔 者 认 为, 在 面 计 算机 网对 络 全 风安 的时 候险, 计 算 机 使 用 者 可 以 通过加 密 个 人关 键数据 来 保 自护隐身,这私方法简一单 易 ,能行在 够 概率上 降病低毒和 客黑 攻击程的度 阻碍, 黑 客破解 个 人隐 私 数据 的 程进 。 5 .结 束 语 总而 言 之,本 通 过文对 计 算 机 网络 技术用 常见应问题的阐 述 反映 ,出 计机 网算 络应 用技的术展是一发个期性 长工的 程 ,需在 要断完不善算计机网络 的时同加 强 计机算网 使 络用者的安全识意, 由此 不提 断 计升机算 网络技术的应用 ,其使好地 在 社 更会 活生 发 挥 作中 用 ,造福 人 类 。
通
过几 十年 飞的发速 ,展 算机计硬 件 的 性能不 断 提 ,但 高 脆 弱 其 也 性 应相 增加 而。 目计前算机硬件 物 的理御设计防几 乎零 为单,个电 元件子 易受极到 自环境然 的影响 ,因也此要重点关 注计由算机硬件 的 损坏带而 的计算机网路来据数毁损 。 4 . 应对 策 略根 上 据 文可得 , 计 算机网络 技 术 在 应用过 中程存 着在多很的 全安 患隐, 而 ,因 取 采 有强 力的 措 施
来 加强计 算机 网 络信 息 参考文 1 献 刘]延 .卿 算机计 网络技术的 发及展安全 御 策防略分 析安 管全理迫在 睫眉。 般一 而,加言强计算 [ Ⅱ ] .数字技术应与. 用2 0 12( 5 ) 0 机 网络 息 安 信 全 理管, 需 要 从 以 几下个 方 [ 2] 赵军爱 ,张大.伟有 关计 算机 网络全安问 题的再 思 考 面着手 。 线无联科互.技2 0 1 2 0 (6 ). 1 )采 用安 全技 术 来增强 计算 机 系 统 的 [ 3 】 燕魏, 主 王. A理 T 网M络术 和技 以太 络网术在技数字 安全 能性 ]. 无锡职业技术 学学院报. 2 0 5 0 0 ( ) 4 . 全安 技术 能 有够效 地 改善系 统 的 环网络语 音 的室应用 境 Ⅱ弥补 ,统 系的中漏 ,因此 洞,于对提
高系
统安全性的说有着来举足轻的重意 义。 常用的 全技安 是入术侵检 测技 的,术这 个 技术在 检 测计 算 机 安 性全 方能 面 运 用 广较 ,通过入 侵验检技 术定期,的 计算机对
参考文献
[
3] 晓李光. 网页 木检 测系统马的设 计 与实[现D 】. 北 邮京
电大学, 2 103 ( 45) : 15— 1 . 6
【 】1黄伟 .光 页木马 的网御防与 测 检术研技究 D]I. 京交 北通
大学 , 2 1 1 0 (3 2 ) :48 —4 .
9【
】 付4鸣 网.页 马 木 测技 检 的术研 【 究D沈】阳 工 业大 学,
2 01 2 ( 3 2): 65 — 6 . 6
【 ]2 慧琳, 张维,邹韩 心. 慧网页木 机马理防与技 术【 J御 . 软J 学件, 报 o 12 3(4 3 :84 - 85.
电世界早
一2
6 5—