一种木马感染终端的网络定位方法技术

本发明专利技术公开一种木马感染终端的网络定位方法，先对网页木马进行静态检测，然后将可疑网页进行动态检测；跟踪网页木马执行过程，定位检测其Shellcode，可以有效地批量检测出网络中感染木马的终端主机，并进而实施单机深度木马检测，是一种非常简洁高效的木马检测综合解决方案。

【技术实现步骤摘要】
一种木马感染终端的网络定位方法
本专利技术属于木马检测
，具体涉及一种木马感染终端的网络定位方法。
技术介绍
木马，又称特洛伊木马，其本质是一段具有特定功能的程序代码，体积较小，伪装或者隐藏在合法的程序和进程当中，在后台收集用户的特定信息，并为控制者提供远程操控等功能。RFC1244安全手册中的定义为“特洛伊木马是这样一种程序，它提供了一些有用的功能，通常要做一些用户不希望的事情，注入在用户不知情的情况下拷贝文件或者窃取你的密码”。木马的基本原理是：典型木马通常采用C/S模式，分为客户端(控制端)和服务端(受控端)两个部分其工作原理是：黑客在自已主机上述安装客户端，然后利用多种传播手段使自已编译的木马植入他人的主机之中，木马成功植入主机后，第二步就是主机环境检测，测试当前主机环境是否可以使用自身已设定好的的方式启动(如DLL木马需伴随系统项启动)，若木马没有被查杀，则在系统触发木马启动条件后，木马自动启动，并进行自我隐藏。木马的第三步就是与网络另一边的服务端建立连接。连接方式有多种：第一种是正向连接，木马在主机后台随机打开一个端口，并进行端口监听，而服务端则在互联网的另一边进行本文档来自技高网...

【技术保护点】
1.一种木马感染终端的网络定位方法，其特征在于，包括以下操作步骤：(1)构建测试网页木马样例，对检测到样本，提取网页内容，剥离出具有特定特征的Java Script脚本，对其中某些网页木马所使用的关键函数利用反混淆技术进行处理，取出Java Script脚本中类似eval()的关键函数；(2)对网页内容利用静态检测模块进行检测，解析特征码，将特征码与木马特征库进行匹配，如果在木马特征库中检测到特征码，说明测试页面含有木马；(3)如若检测正常，对网页的内嵌链接进行爬虫，提取各个网页的信息，对检测混淆脚本代码进行混淆页面分析；(4)利用解码模块进行解密还原，对还原的原始代码，首先采用网页木马静态检...

【技术特征摘要】
1.一种木马感染终端的网络定位方法，其特征在于，包括以下操作步骤：(1)构建测试网页木马样例，对检测到样本，提取网页内容，剥离出具有特定特征的JavaScript脚本，对其中某些网页木马所使用的关键函数利用反混淆技术进行处理，取出JavaScript脚本中类似eval()的关键函数；(2)对网页内容利用静态检测模块进行检测，解析特征码，将特征码与木马特征库进行匹配，如果在木马特征库中检测到特征码，说明测试页面含有木马；(3)如若检测正常，对网页的内嵌链接进行爬虫，提取各个网页的信息，对检测混淆脚本代码进行混淆页面分析；(4)利用解码模块进行解密还原，对还原的原始代码，首先采用网页木马静态检测模块对其检测分析，提取检测到网页木马的特征与后台数据库的特征数据进行比对，如果比对成功，则说明网页中含有网页木马，否则，继续对其进行网页木马的动态检测，通过对解码后的一些重点API函数的参数监控，下载其参数对应的数据后，进行Shellcode特征数据比对，如果成功，则表明存在恶意Shellcode。2.根据权利要求1所述...

【专利技术属性】
技术研发人员：王超，
申请(专利权)人：王超，
类型：发明
国别省市：安徽,34