网页木马分析
黑客最新的武器即网页木马目前正在流行,现在网上的网页木马多是几套固定的代码,变化并不多,包括脚本代码的加密方式,几乎也都是解释型的加密,由于黑客都是进行的流程化挂马,国外对于自动化分析网页木马也已经有了丰厚的成果。国内技术还不很成熟。
1.纯静态分析
只需要取到页面的静态内容,仅仅需要使用正则匹配分离出HTML内容和脚本内容,直接分析HTML内容,剩下的将分离出来的脚本内容丢给脚本解释引擎执行,当然这里有些小瓶颈,但我们可以改造脚本解释引擎,对某些网马所使用的关键函数进行处理,不难分离OBJECT和SHELLCODE之类的关键内容。javascript的解释引擎我们可以选择蜘蛛猴,当然这个东西有个致命的缺点,如果黑客使用VBSCRIPT或者封装代码进入FLASH等没有静态代码内容的文件执行脚本的话,很难再进行自动分析。
2.沙盒分析
鉴于第一种方式的种种缺点,我们仍然可以使用沙盒方式分析,直接把网页木马丢到真实的浏览器中跑,但之前我们需要使用第一个老思路先使用解决到几个关键的脚本函数,类似下脚本断点吧,输出关键内容或针对脚本的行为进行分析。IE的话我们可以使用COM HOOK,而FF甚至不需要大力气我们可以直接使用Greaseamonkey插件等。
黑客的挂马方式肯定是会越来越高级,文章作者更倾向于沙盒分析。以上仅仅是隐晦的说了两个小思路,没有涉及实际内容。也希望读者能够慢慢摸索。
【编辑推荐】
