本发明专利技术公开一种木马感染终端的网络定位方法,先对网页木马进行静态检测,然后将可疑网页进行动态检测;跟踪网页木马执行过程,定位检测其Shellcode,可以有效地批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。
【技术实现步骤摘要】
一种木马感染终端的网络定位方法
本专利技术属于木马检测
,具体涉及一种木马感染终端的网络定位方法。
技术介绍
木马,又称特洛伊木马,其本质是一段具有特定功能的程序代码,体积较小,伪装或者隐藏在合法的程序和进程当中,在后台收集用户的特定信息,并为控制者提供远程操控等功能。RFC1244安全手册中的定义为“特洛伊木马是这样一种程序,它提供了一些有用的功能,通常要做一些用户不希望的事情,注入在用户不知情的情况下拷贝文件或者窃取你的密码”。木马的基本原理是:典型木马通常采用C/S模式,分为客户端(控制端)和服务端(受控端)两个部分其工作原理是:黑客在自已主机上述安装客户端,然后利用多种传播手段使自已编译的木马植入他人的主机之中,木马成功植入主机后,第二步就是主机环境检测,测试当前主机环境是否可以使用自身已设定好的的方式启动(如DLL木马需伴随系统项启动),若木马没有被查杀,则在系统触发木马启动条件后,木马自动启动,并进行自我隐藏。木马的第三步就是与网络另一边的服务端建立连接。连接方式有多种:第一种是正向连接,木马在主机后台随机打开一个端口,并进行端口监听,而服务端则在互联网的另一边进行广播,当木马监听到广播后,利用TCP/IP协议建立连接;第二种是反向连接,服务端只是打开端口进行监听,而木马会按照设定好的流程主动向控制端申请建立连接;第三种是间接通信,客户端主动通过打开端口进行监听,而木马会按照设定好的流程主动向控制端申请建立连接;通信,客户端主动通过80端口向特定的网站发送信息,留下被感染主机的IP地址、物理地址和通信端口等信息,而服务端定期访问该网站,当发现信息后,双方就利用网站进行间接的通信。双方建立连接后,分成两种情况:第一,对于结构简单,只具有窃取主机信息功能的木马来说,无需服务端的操作,主动搜寻特定的信息(各种账号),并记录下所有操作者的键盘按键次序,定期发给服务端;第二,对于具有远程控制功能的木马,在双方建立连接后,由服务端先发起事件请求(如要求建立远程操作),受控端响应请求,并执行指令,之后服务端就可以进控制被感染主机进行同步操作了。随着计算机及通信技术的飞速发展,网络在带给人们便利的同时,也给病毒、木马的泛滥提供了温床,给政府、企业及个人都带来了很大的损失。其中,木马程序造成的危害更是非常巨大的,也是非常危险的恶意程序。它能使远程用户获得本地计算机的最高操作权限,使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。因此在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,防止木马窃取敏感信息,保护重要数据,已经成为当前信息网络安全监管或维护部门的重中之重。
技术实现思路
为了解决上述技术问题,本专利技术提供一种木马感染终端的网络定位方法。本专利技术是通过以下技术方案实现的。一种木马感染终端的网络定位方法,包括以下操作步骤:(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的JavaScript脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出JavaScript脚本中类似eval()的关键函数;(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。具体地,上述对网页的内嵌链接进行爬虫的具体描述为:利用http协议从Web服务器站点上提取网页代码,抽取网页所需的链接;对爬取的链接进行分析,这些链接基本是一些脚本链接及网址;将JS文件中的URL放入队列;对于抽取的脚本文件[Javascript文件],采用线程机制,每个文件启动对应线程,下载脚本文件。具体地,上述静态检测主要是网页代码中的特征数据以及关键函数中包含的特征码,利用一系列关键函数进行归纳总结并组成一个函数词库,利用静态检测模块进行检测。具体地,上述动态检测中,Shellcode特征数据比对的方法为:网页木马中Shellcode的检测主要把整个正常执行的恶意程序反编译成机器代码,无论程序是否被混淆加密,只要检测Shellcode中调用API函数返回地址附近的特征数据源,然后截取其特征数据与木马特征库进行关联,用正则表达式匹配两者之间的数据。由以上的技术方案可知,本专利技术的有益效果是:本专利技术提供的一种木马感染终端的网络定位方法,先对网页木马进行静态检测,然后将可疑网页进行动态检测;跟踪网页木马执行过程,定位检测其Shellcode,可以有效地批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。具体实施方式下面对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。实施例一种木马感染终端的网络定位方法,包括以下操作步骤:(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的JavaScript脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出JavaScript脚本中类似eval()的关键函数;(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。具体地,上述对网页的内嵌链接进行爬虫的具体描述为:利用http协议从Web服务器站点上提取网页代码,抽取网页所需的链接;对爬取的链接进行分析,这些链接基本是一些脚本链接及网址;将JS文件中的URL放入队列;对于抽取的脚本文件[Javascript文件],采用线程机制,每个文件启动对应线程,下载脚本文件。具体地,上述静态检测主要是网页代码中的特征数据以及关键函数中包含的特征码,利用一系列关键函数进行归纳总结并组成一个函数词库,利用静态检测模块进行检测。具体地,上述动态检测中,Shellcode特征数据比对的方法为:网页木本文档来自技高网...
【技术保护点】
1.一种木马感染终端的网络定位方法,其特征在于,包括以下操作步骤:(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的Java Script脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出Java Script脚本中类似eval()的关键函数;(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。
【技术特征摘要】
1.一种木马感染终端的网络定位方法,其特征在于,包括以下操作步骤:(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的JavaScript脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出JavaScript脚本中类似eval()的关键函数;(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。2.根据权利要求1所述...
【专利技术属性】
技术研发人员:王超,
申请(专利权)人:王超,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。