论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1708阅读
  • 3回复

[求助-网络问题]反网页挂马常用技术小结 [复制链接]

上一主题 下一主题
离线ahyanglf
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-10-04 05:55:59
越来越多的人开始关注起网页挂马,为了让大家对真正的反挂马技术有所了解,下面简单介绍下:

1.恶意域名的对抗(优点:非常简单,有效;缺点:实时性差,不能防御新的恶意网站)
由于操作系统在访问网站的时候会优先去检查hosts文件是否已经包含该网站的映射,因此我们可以做做手脚让恶意域名不能访问,从而使得后续的恶意代码无法下载,可以说这是网马进入电脑的第一道防线(比较有代表性的就是360安全卫士,目前360安全卫士从这层防御网马入侵);金山云安全中心发现挂马网站利用挂马通常换域名时间为一天一个,此方法躲避传统的拦截方式已经有所突破。

2. 网马触发关键区域的拦截(优点:可以防范采用同一类技术的漏洞;缺点:挂马采用了新的技术将失去拦截能力)
通常采取的是堆栈占坑,代码返回地址检查等技术,但目前大多的挂马方式都是采用此堆栈溢出方式进行挂马。

3.漏洞攻击代码的防御(优点:针对性强,防御效果好;缺点:有可能会误报正常网站)
通常大部分网页防挂马功能使用的是网页脚本特征来防御,简单的说把网页脚本当作文件来查杀,缺点就显而易见来,容易误报,网页一修改就不报毒了,如卡巴斯基、畅游巡警等是一个非常典型的例子。而一些真正意义上的网页防挂马软件,会分析漏洞的执行原理然后针对性的防御,如金山网盾采用的高级脚本引擎分析技术。

4.木马下载器的防御(优点:拦截一切所有可疑程序;缺点:误报大,影响正常使用)
如果以上防御都已经失效了,木马下载器的防御就是最后一道防御,网页防挂马软件会在这个环节将一些敏感的系统函数hook(就是接管)比如URLDownloadToCacheFile,URLDownloadToFile等网马常用的函数,接管这些函数就可以拦截木马下载器的下载。 但是比较遗憾的是很多正常程序下载文件也会用到这些程序,通常很难很准确的断定用到这些程序下载文件的是不是木马下载器(有害程序),同时现在的木马下载器“逃过”此方法的检测也有很多办法。
离线leefeng520
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2009-10-04 09:06:08
— (quen2008) 禁止字数少又毫无意义,字数少于3个字的回复,请尽快修改! (2009-10-04 13:59) —
顶了..........
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 板凳  发表于: 2009-10-04 09:22:25
写的不错
离线quen2008
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 地板  发表于: 2009-10-04 13:58:28
木马真是防不胜防啊
[ 此帖被quen2008在2009-10-04 13:58重新编辑 ]