CN101515318B - 一种识别vbs网页木马的方法和装置 - Google Patents
一种识别vbs网页木马的方法和装置 Download PDFInfo
- Publication number
- CN101515318B CN101515318B CN 200910130027 CN200910130027A CN101515318B CN 101515318 B CN101515318 B CN 101515318B CN 200910130027 CN200910130027 CN 200910130027 CN 200910130027 A CN200910130027 A CN 200910130027A CN 101515318 B CN101515318 B CN 101515318B
- Authority
- CN
- China
- Prior art keywords
- statement
- vbs
- code
- self
- trojan horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种识别vbs网页木马的方法和装置,属于计算机领域。所述方法包括:根据预设的映射关系,将vbs代码转换为js语句;解析所述js语句;识别所述解析后的js语句的网页木马行为。所述装置包括:转换模块、解析模块和识别模块。本发明通过预设的映射关系,将vbs代码转换为js语句,解析并识别该js语句的网页木马行为,将vbs网页木马和js网页木马的识别统一起来,不需要为vbs网页木马另配置一套特征库,简化了开发和维护过程,降低了成本。
Description
技术领域
本发明涉及计算机领域,特别涉及一种识别vbs网页木马的方法和装置。
背景技术
网页木马就是加载在网页中的木马病毒。网页木马可能会破坏文件,盗取资料,给用户造成巨大损失,严重危害了网络安全。
当前网络中,大部分网页是基于javascript(可简写为js)或vbscript(可简写为vbs)脚本语言开发的。其中,针对js网页木马的检测技术已经非常成熟,而针对vbs网页木马,当前主要有两种检测方法:
第一种方法是预先获取木马病毒的vbs代码样本,把它当作一段普通字符串来处理,提取其中的字符串特征,来识别vbs网页木马;
第二种方法是开发一套vbs引擎,通过vbs引擎来解释执行vbs代码,通过分析代码的行为,来识别vbs网页木马。
综合上述,现有技术至少存在以下问题:
需要为vbs网页木马配置一套特征库,而js网页木马也配置有一套特征库,二者不能统一起来处理,开发和维护起来不仅繁琐,而且成本比较高。
发明内容
为了将vbs网页木马和js网页木马的识别统一起来,本发明实施例提供了一种识别vbs网页木马的方法和装置。所述技术方案如下:
一种识别vbs网页木马的方法,所述方法包括:
获取vbs代码的自定义函数和自定义对象;
获取所述vbs代码的词法标记;
根据所述vbs代码的自定义函数、自定义对象和词法标记,获取所述vbs代码的语句;
根据预设的映射关系和优先级顺序,将所述vbs代码的语句转换为js语句,包括:根据所述预设的映射关系和所述优先级顺序,若所述vbs代码的语句为Execute语句,将所述Execute语句转换为js语句中的eval语句,所述eval语句的第一个参数是所述Execute语句的参数;在所述eval语句中添加第二个参数,并将所述第二个参数设置为预先规定的转换标识,所述优先级顺序为:声明语句、赋值语句、循环语句、条件分支语句,自定义函数、自定义对象,内置的函数调用;
解析所述js语句,包括:若所述js语句是eval语句,且所述eval语句的第二个参数是预先规定的转换标识,读取所述eval语句的第一个参数;根据所述预设的映射关系,将所述第一个参数转换为另一js语句;解析所述另一js语句;
识别所述解析后的js语句的网页木马行为。
其中,所述获取所述vbs代码的词法标记包括:
采用词法分析工具lex或flex,获取所述vbs代码的词法标记。
其中,所述根据所述vbs代码的自定义函数、自定义对象和词法标记,获取所述vbs代码的语句包括:
根据所述vbs代码的自定义函数、自定义对象和词法标记,采用语法分析工具yacc或bison,获取所述vbs代码的语句。
一种识别vbs网页木马的装置,所述装置包括:
转换模块,用于根据预设的映射关系,将vbs代码转换为js语句;
所述转换模块包括:
自定义信息获取单元,用于获取所述vbs代码的自定义函数和自定义对象;
词法分析单元,用于获取所述vbs代码的词法标记;
语法分析单元,用于根据所述自定义信息获取单元获取的自定义函数和自定义对象,以及所述词法分析单元获取的所述vbs代码的词法标记,获取所述vbs代码的语句;
转换单元,用于根据所述预设的映射关系和优先级顺序,将所述语法分析单元获取的所述vbs代码的语句转换为js语句,包括:根据所述预设的映射关系和所述优先级顺序,若所述语法分析单元获取的所述vbs代码的语句为Execute语句,将所述Execute语句转换为js语句中的eval语句,所述eval语句的第一个参数是所述Execute语句的参数;在所述eval语句中添加第二个参数,并将所述第二个参数设置为预先规定的转换标识,所述优先级顺序为:声明语句、赋值语句、循环语句、条件分支语句,自定义函数、自定义对象,内置的函数调用;
解析模块,用于解析所述转换模块转换的js语句,包括:若所述解析模块解析的js语句是eval语句,且所述eval语句的第二个参数是预先规定的转换标识,读取所述eval语句的第一个参数;根据所述预设的映射关系,将所述第一个参数转换为另一js语句;解析所述另一js语句;
识别模块,用于识别所述解析模块解析后的js语句的网页木马行为。
其中,所述词法分析单元,具体用于
采用词法分析工具lex或flex,获取所述vbs代码的词法标记。
其中,所述语法分析单元,具体用于
根据所述自定义信息获取单元获取的自定义函数和自定义对象,以及所述词法分析单元获取的所述vbs代码的词法标记,采用语法分析工具yacc或bison,获取所述vbs代码的语句。
本发明实施例提供的技术方案带来的有益效果是:通过预设的映射关系,将vbs代码转换为js语句,解析并识别该js语句的网页木马行为,将vbs网页木马和js网页木马的识别统一起来,不需要为vbs网页木马另配置一套特征库,简化了开发和维护过程,降低了成本。
附图说明
图1是本发明实施例1中提供的识别vbs网页木马的方法流程图;
图2是本发明实施例1中提供的另一识别vbs网页木马的方法流程图;
图3是本发明实施例2中提供的识别vbs网页木马的装置结构示意图;
图4是本发明实施例2中提供的转换模块结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
参见图1,本实施例提供了一种识别vbs网页木马的方法,该方法包括:
101:根据预设的映射关系,将vbs代码转换为js语句;
102:解析该js语句;
103:识别该解析后的js语句的网页木马行为。
本实施例提供的识别vbs网页木马的方法,能够将vbs网页木马和js网页木马的识别统一起来,不需要为vbs网页木马另配置一套特征库,简化了开发和维护过程,降低了成本。
若要实现vbs网页木马的识别,
首先,预先建立vbs代码与js代码的内置函数和对象的映射关系;
例如:vbs中的函数asc(str),在js中对应的函数是str.charCodeAt(0),二者之间需要建立映射关系。
其次,参见图2,识别vbs网页木马的数据处理流程如下:
201:接收vbs代码,对vbs代码进行预处理,获取其中的自定义函数和自定义对象;
202:对vbs代码进行词法分析,获取词法标记(token);
其中,在做词法分析时,内置的词法标记需要与自定义对象和自定义函数区分开来;
具体的,采用开源的词法分析工具(如lex、flex),将输入的vbs代码流识别为符合vbs语法要求的关键字、数字、运算符、标识符等token,其中,标识符进一步区分为变量名、函数名或对象名。
203:根据获取的token以及自定义函数和自定义对象,对vbs代码进行语法分析,获取vbs代码的语句;
其中,若干token构成一条vbs语句;特殊的,自定义函数和自定义对象与内置的token一起构成若干vbs语句;
具体的,在词法分析的基础上,采用开源的语法分析工具(如yacc、bison)对vbs代码进行语法解析,识别出vbs语句。其中,vbs语句在本实施例中包括:表达式、函数、对象,还有声名、赋值、循环、条件分支等语句。
204:如果vbs代码的语句是Execute语句,204a)则转换为js语句eval语句,且在eval语句中添加第二个参数,并执行203,否则执行205;
其中,该eval语句的第一个参数是Execute语句的参数,eval语句的第二个参数,用于识别js语句是否是从vbs代码转换来的,并将其值设为预先规定的转换标识,本实施例中,该转换标识设为“vbs”。
将Execute转换为eval并添加一个参数:vbs转换为js有时不是一次可以完成的,Execute函数的参数也是一段vbs代码,这时可以先执行部分转换的js代码,执行到Execute时,再将Execute的参数部分进行二次转换,如果有Execute嵌套的情况,这种反复转换需要进行多次。
205:根据预设的映射关系,将vbs代码的语句转换为js语句。
具体的,按照优先级顺序,将vbs表达式转化为相应的js表达式:将vbs中的声名、赋值、循环、条件分支等语句转换为相应的js语句;将vbs中的函数定义、对象定义转换为对应的js格式的函数定义、对象定义;对于内置的函数调用根据预先建立的映射关系,转换为相应的调用形式。
例如:通过预先设定的映射关系,将vbs函数call CLng″hello″,转换成js函数parseInt(″hello″,16)。
206:如果还有没处理完的token,执行203,否则执行207;
207:输出js语句;
208:对js语句进行解析;
解析过程具体可由js引擎进行处理,如spidermonkey等。
209:如果js语句是eval语句,且第二个参数为“vbs”,209a)则读取eval语句的第一个参数的值,并执行201,否则执行209;
解析该eval语句的过程具体可由js引擎进行处理,如spidermonkey等。
210:执行js语句,并分析网页木马行为;
具体的,分析js语句的网页木马行为,可以采用现有技术的js网页木马的识别方法。
211:如果已经处理完所有的js语句,则退出,否则执行208。
本实施例提供的识别vbs网页木马的方法,通过预设的映射关系,将vbs代码转换为js语句,解析并识别该js语句的网页木马行为,将vbs网页木马和js网页木马的识别统一起来,不需要为vbs网页木马另配置一套特征库,简化了开发和维护过程,降低了成本。另外,相对与第一种现有技术,不需要提前获取vbs代码样本,具有较高的时效性和通用性;相对于第二种现有技术,不需要额外开发vbs引擎,可以利用现有的js引擎,只需要进行词法分析和语法分析,不需要模拟执行,节省了时间和人力成本。
实施例2
参见图3,本实施例提供了一种识别vbs网页木马的装置,该装置包括:
转换模块301,用于根据预设的映射关系,将vbs代码转换为js语句;
解析模块302,用于解析该转换模块301转换的js语句;
识别模块303,用于识别该解析模块302解析后的js语句的网页木马行为。
进一步的,参见图4,该转换模块301包括:
自定义信息获取单元301a,用于获取该vbs代码的自定义函数和自定义对象;
词法分析单元301b,用于获取该vbs代码的词法标记;
语法分析单元301c,用于根据该自定义信息获取单元301a获取的自定义函数和自定义对象,以及该词法分析单元301b获取的该vbs代码的词法标记,获取该vbs代码的语句;
转换单元301d,用于根据该预设的映射关系,将该语法分析单元301c获取的该vbs代码的语句转换为js语句。
其中,该词法分析单元301b,具体用于
采用词法分析工具lex或flex,获取该vbs代码的词法标记。
其中,该语法分析单元301c,具体用于
根据该自定义信息获取单元301a获取的自定义函数和自定义对象,以及该词法分析单元301b获取的该vbs代码的词法标记,采用语法分析工具yacc或bison,获取该vbs代码的语句。
其中,该转换单元301d,具体用于
根据该预设的映射关系,若该语法分析单元301c获取的该vbs代码的语句为Execute语句,将该Execute语句转换为js语句eval语句,该eval语句的第一个参数是该Execute语句的参数;
在该eval语句中添加第二个参数,并将该第二个参数设置为预先规定的转换标识。
其中,该识别模块303,具体用于
若该解析模块302解析的js语句是eval语句,且该eval语句的第二个参数是预先规定的转换标识,读取该eval语句的第一个参数;
根据该预设的映射关系,将该第一个参数转换为另一js语句;
解析该另一js语句。
本实施例提供的识别vbs网页木马的装置,通过预设的映射关系,将vbs代码转换为js语句,解析并识别该js语句的网页木马行为,将vbs网页木马和js网页木马的识别统一起来,不需要为vbs网页木马另配置一套特征库,简化了开发和维护过程,降低了成本。另外,相对与第一种现有技术,不需要提前获取vbs代码样本,具有较高的时效性和通用性;相对于第二种现有技术,不需要额外开发vbs引擎,可以利用现有的js引擎,只需要进行词法分析和语法分析,不需要模拟执行,节省了时间和人力成本。
以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软件程序存储在可读取的存储介质中,存储介质例如:计算机中的硬盘、光盘或软盘。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种识别vbs网页木马的方法,其特征在于,所述方法包括:
获取vbs代码的自定义函数和自定义对象;
获取所述vbs代码的词法标记;
根据所述vbs代码的自定义函数、自定义对象和词法标记,获取所述vbs代码的语句;
根据预设的映射关系和优先级顺序,将所述vbs代码的语句转换为js语句,包括:根据所述预设的映射关系和所述优先级顺序,若所述vbs代码的语句为Execute语句,将所述Execute语句转换为js语句中的eval语句,所述eval语句的第一个参数是所述Execute语句的参数;在所述eval语句中添加第二个参数,并将所述第二个参数设置为预先规定的转换标识,所述优先级顺序为:声明语句、赋值语句、循环语句、条件分支语句,自定义函数、自定义对象,内置的函数调用;
解析所述js语句,包括:若所述js语句是eval语句,且所述eval语句的第二个参数是预先规定的转换标识,读取所述eval语句的第一个参数;根据所述预设的映射关系,将所述第一个参数转换为另一js语句;解析所述另一js语句;
识别所述解析后的js语句的网页木马行为。
2.如权利要求1所述的识别vbs网页木马的方法,其特征在于,所述获取所述vbs代码的词法标记包括:
采用词法分析工具lex或flex,获取所述vbs代码的词法标记。
3.如权利要求1所述的识别vbs网页木马的方法,其特征在于,所述根据所述vbs代码的自定义函数、自定义对象和词法标记,获取所述vbs代码的语句包括:
根据所述vbs代码的自定义函数、自定义对象和词法标记,采用语法分析工具yacc或bison,获取所述vbs代码的语句。
4.一种识别vbs网页木马的装置,其特征在于,所述装置包括:
转换模块,用于根据预设的映射关系,将vbs代码转换为js语句;
所述转换模块包括:
自定义信息获取单元,用于获取所述vbs代码的自定义函数和自定义对象;
词法分析单元,用于获取所述vbs代码的词法标记;
语法分析单元,用于根据所述自定义信息获取单元获取的自定义函数和自定义对象,以及所述词法分析单元获取的所述vbs代码的词法标记,获取所述vbs代码的语句;
转换单元,用于根据所述预设的映射关系和优先级顺序,将所述语法分析单元获取的所述vbs代码的语句转换为js语句,包括:根据所述预设的映射关系和所述优先级顺序,若所述语法分析单元获取的所述vbs代码的语句为Execute语句,将所述Execute语句转换为js语句中的eval语句,所述eval语句的第一个参数是所述Execute语句的参数;在所述eval语句中添加第二个参数,并将所述第二个参数设置为预先规定的转换标识,所述优先级顺序为:声明语句、赋值语句、循环语句、条件分支语句,自定义函数、自定义对象,内置的函数调用;
解析模块,用于解析所述转换模块转换的js语句,包括:若所述解析模块解析的js语句是eval语句,且所述eval语句的第二个参数是预先规定的转换标识,读取所述eval语句的第一个参数;根据所述预设的映射关系,将所述第一个参数转换为另一js语句;解析所述另一js语句;
识别模块,用于识别所述解析模块解析后的js语句的网页木马行为。
5.如权利要求4所述的识别vbs网页木马的装置,其特征在于,所述词法分析单元,具体用于
采用词法分析工具lex或flex,获取所述vbs代码的词法标记。
6.如权利要求4所述的识别vbs网页木马的装置,其特征在于,所述语法分析单元,具体用于
根据所述自定义信息获取单元获取的自定义函数和自定义对象,以及所述词法分析单元获取的所述vbs代码的词法标记,采用语法分析工具yacc或bison,获取所述vbs代码的语句。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910130027 CN101515318B (zh) | 2009-04-03 | 2009-04-03 | 一种识别vbs网页木马的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200910130027 CN101515318B (zh) | 2009-04-03 | 2009-04-03 | 一种识别vbs网页木马的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101515318A CN101515318A (zh) | 2009-08-26 |
CN101515318B true CN101515318B (zh) | 2011-05-04 |
Family
ID=41039770
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200910130027 Active CN101515318B (zh) | 2009-04-03 | 2009-04-03 | 一种识别vbs网页木马的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101515318B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101692267B (zh) * | 2009-09-15 | 2011-09-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
CN103529773B (zh) * | 2013-09-18 | 2015-01-21 | 国家电网公司 | 一种行为控制脚本语言的自动化转化方法 |
CN104484603A (zh) * | 2014-12-31 | 2015-04-01 | 北京奇虎科技有限公司 | 网站后门的检测方法及装置 |
-
2009
- 2009-04-03 CN CN 200910130027 patent/CN101515318B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN101515318A (zh) | 2009-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102955914A (zh) | 一种源文件安全漏洞的检测方法及检测装置 | |
CN110502520B (zh) | 一种数据入库的方法、系统、设备及计算机可读存储介质 | |
CN103544298A (zh) | 组件的日志分析方法和分析装置 | |
WO2012027975A1 (zh) | 一种提升业务脚本执行效率的装置及方法 | |
CN101515318B (zh) | 一种识别vbs网页木马的方法和装置 | |
CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
CN111580821B (zh) | 脚本绑定方法、装置、电子设备及计算机可读存储介质 | |
CN101546272A (zh) | 一种编译器及其实现方法 | |
CN111008067A (zh) | 一种在虚拟机中执行功能模块的方法和装置 | |
CN103984539A (zh) | 一种家电设备运行方法及系统 | |
US20240064350A1 (en) | Automated dynamic data extraction, distillation, and enhancement | |
CN110881030A (zh) | 基于logstash的记录web服务管理员操作日志的方法及装置 | |
CN108984221B (zh) | 一种多平台用户行为日志的采集方法和装置 | |
CN114065197A (zh) | 调用序列生成方法、装置、电子设备、存储介质及产品 | |
CN102866893B (zh) | 基于中间语言il的遗产软件结构析取方法 | |
CN114090625A (zh) | 数据处理方法、装置、设备及计算机可读存储介质 | |
CN110764783B (zh) | 一种生成信息采集工具的方法及装置、设备、存储介质 | |
CN115361456B (zh) | 一种数据报文的处理方法、装置及系统 | |
CN112527880B (zh) | 大数据集群元数据信息的采集方法、装置、设备及介质 | |
CN103077020A (zh) | 文本对话服务系统 | |
CN111857678B (zh) | 代码生成方法、装置、电子设备及计算机存储介质 | |
CN114201149B (zh) | 运行流程生成方法、装置、系统与计算机可读存储介质 | |
CN114201507A (zh) | 基于ElasticSearch的日志查询方法、装置、设备及存储介质 | |
KR101869377B1 (ko) | 네트워크 시그너처들 사이 또는 시그너처 페어들 사이의 의존도를 분석하는 기계어 분석 장치 및 기계어 분석 방법 | |
CN115879945A (zh) | 一种智能合约写后读风险检测方法和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |