专家教你如何进行网站挂马检测及清除Word文件下载.docx

1、安装非常简单，按照提示进行安装即可。第一次使用时需要程序会自动检查网卡，查看能否正常连接网络，设置正确无误后，应该出现如图1所示的画面。图1安装正确后的界面2.对网站进行侦测在Urlsnooper中的“ProtocolFilter”中选择“ShowAll”，然后单击“SniffNetwork”按钮开始监听网络。接着使用IE浏览器打开需要进行检测木马的网站，Urlsnooper会自动抓取网站中的所有连接，在Index中按照五位数字序号进行排列，如图2所示。图2监听结果说明：在侦测结果中可能包含的连接地址非常多，这个时候就需要进行排查，可以选中每一个记录，Urlsnooper会在下方中显示详细的监

2、听结果，如图2所示，就发现存在一段挂马代码：在XX搜索中对其进行搜索，如图3所示，有30多项搜索结果，从查询结果可以辅佐证明该段代码为挂马代码。图3搜索结果要善于运用网络搜索引擎，通过搜索可以知道目前关于该问题的描述和解决方法等360督导招募中，赶紧报名吧！ 【题材征集】2011-2012新春语音祝福题材征集 4大皆空 金币：373经验：1589等级：初中二年级 功勋：2短信 回到顶部回复此楼引用举报 2 楼 2009-07-02 10:48 3.对地址进行解码该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以找出该代码中的真实地址为。4.获取该网站相关内容可以使用Fl

3、ashget的资源管理器去获取该网站的内容，如图4所示，打开Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索器，在地址中输入“”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。图4 使用“站点资源探索器”获取站点资源使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对

4、原代码文件进行分析。5.常见的挂马代码（1）框架嵌入式网络挂马网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：解释：在打开插入该句代码的网页后，就也就打开了页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。（2）Js调用型网页挂马js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下：就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了。（

5、3）图片伪装挂马随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似：中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如： 注：当用户打开是，显示给用户的是，而网页代码也随之运行。（4）网络钓鱼挂马（也称为伪装调用挂马）网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户

6、输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码，如图5所示。等用户输入完提交后，就把这些信息发送到攻击者指定的地方，如图6。图5 伪装QQ页面图6 获取的QQ密码（5）伪装挂马高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示 或者，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：回到顶部回复此楼引用举报 3 楼 2009-07-02 10:49 中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。4

7、大皆空 于2009-07-02 11:17:51 编辑过该帖回到顶部回复此楼引用举报 4 楼 2009-07-02 11:15 （二）清除网站中的恶意代码（挂马代码）1.确定挂马文件清除网站恶意代码首先需要知道哪些文件被挂马了，判断方法有三个，方法一就是通过直接查看代码，从中找出挂马代码;方法二是通过查看网站目录修改时间，通过时间进行判断;方法三使用本文提到的软件进行直接定位，通过监听找出恶意代码。在本案例中，网站首页是被确认挂马了，通过查看时间知道被挂马时间是8月25日左右，因此可以通过使用资源管理器中的搜索功能，初步定位时间为8月24日至26日，搜索这个时间范围修改或者产生的文件，如图7，

8、图8所示，搜索出来几十个这个时间段的文件。图7 搜索被修改文件图8 搜索结果2.清除恶意代码可以使用记事本打开代码文件从中清除恶意代码，在清除代码时一定要注意不要使用FrontPage的预览或者设计，否则会直接访问挂马网站，感染木马程序。建议使用记事本等文本编辑器。在清除恶意代码过程中，发现挂马者竟然对js文件也不放过，如图9所示。图9 对js文件进行挂马技巧：可以使用Frontpage中的替换功能替换当前站点中的所有指定代码。（三）总结与回顾本文探讨了如何通过一些工具软件来检测和清除在网站系统中的网页木马，在实际管理维护过程中还有很多本文未提及到的，例如抓包分析，通过分析原始数据包，也能获取被挂马的页面，本文算是抛砖引玉