CN101599947B - 基于web网页的木马病毒扫描方法 - Google Patents
基于web网页的木马病毒扫描方法 Download PDFInfo
- Publication number
- CN101599947B CN101599947B CN200810043452.2A CN200810043452A CN101599947B CN 101599947 B CN101599947 B CN 101599947B CN 200810043452 A CN200810043452 A CN 200810043452A CN 101599947 B CN101599947 B CN 101599947B
- Authority
- CN
- China
- Prior art keywords
- trojan horse
- web
- method based
- scanning method
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于WEB网页的木马病毒扫描方法,包括以下步骤:(1).获得WEB服务器所有WEB目录;加载包含木马病毒特征的木马病毒规则库及非木马病毒文件的白名单;(2).枚举WEB目录下的脚本文件,循环判断是否包含木马病毒规则库内容;(3).如果WEB目录下的脚本文件包含木马病毒规则库中的内容,则进行步骤(4);如果否,进行步骤(2);(4).若脚本文件包含在白名单中,则进行步骤(2);(5).若脚本文件未包含在白名单中,则进行报警。本发明能在WEB服务器端,对网页木马文件进行扫描,且能适用于不同的操作系统环境。
Description
技术领域
本发明涉及一种病毒扫描技术,特别涉及一种基于WEB网页的木马病毒扫描方法。
背景技术
当前计算机网络应用非常广泛,多种应用均依赖于计算机网络环境。但网络环境中的病毒也逐渐多了起来,例如计算机网络病毒可随网络链接到聊天工具MSN,电子邮件、网页等等。以盗取个人账号密码等信息为目的的木马病毒越来越多,其产生的危害也越来越大。当前反木马病毒的杀毒软件多为基于WINDOW平台的个人PC机,安装在客户端的防病毒软件。针对WEB环境的服务器端,或针对不同PC系统环境,没有比较合适的木马病毒控制软件。据了解,当前服务器端遭受的黑客攻击,80%为WEB攻击,黑客在获得WEB权限后,会立刻上传WEB木马病毒,进行进一步的权限提升,给服务器造成严重的威胁。
发明内容
本发明要解决的技术问题是提供一种基于WEB网页的木马病毒扫描方法,该方法能在WEB服务器端,对网页木马文件进行扫描,且能适用于不同的操作系统环境。
为解决上述技术问题,本发明的基于WEB网页的木马病毒扫描方法,包括以下步骤:
(1).获得WEB服务器所有WEB目录;加载包含木马病毒特征的木马病毒规则库及非木马病毒文件的白名单;
(2).枚举WEB目录下的脚本文件,循环判断是否包含木马病毒规则库内容;
(3).如果WEB目录下的脚本文件包含木马病毒规则库中的内容,则进行步骤(4);如果否,进行步骤(2);
(4).若脚本文件包含在白名单中,则进行步骤(2);
(5).若脚本文件未包含在白名单中,则进行报警。
本发明的基于WEB网页的木马病毒扫描方法,可应用于WINDOWS系统平台或LINUX平台,根据其应用系统环境,建立相应的木马病毒规则库文件,用正则方式(正则表达式)匹配当前网页脚本中是否含有木马病毒规则库内包含的木马特征,能在WEB服务器端,对网页木马文件进行扫描,能扫描到WEB网页木马,可在第一时间发现黑客入侵网站,不会等造成损失之后采取弥补网站漏洞,提高了网络安全检测的实时性,降低人工管理成本。
附图说明
下面结合附图及具体实施方式对本发明作进一步详细说明。
图1是基于WEB网页的木马病毒扫描方法的一实施方式的流程图。
具体实施方式
本发明的基于WEB网页的木马病毒扫描方法的一实施方式如图1所示,木马病毒扫描工具安装在WEB服务器端,对黑客恶意上传的或者利用WEB漏洞写入的网页木马病毒文件进行扫描,当运用本发明提出的方法进行木马病毒扫描时,当发现WEB目录下的脚本文件存在包含网页木马病毒的特征字样时,即报警并将信息输出到文本文件。包括以下步骤:
1.获得基于WINDOWS+IIS(即平台为WINDOWS操作系统和IIS WEB引擎)或LINUX的所有WEB目录(包括站点目录及虚拟目录);搜索当前ASP、JSP、PHP、ASPX等脚本语言的木马病毒样本,提取木马病毒规则库信息,根据木马病毒规则库信息加载木马病毒规则库及白名单;
2. 枚举WEB目录下的脚本文件,循环判断是否包含木马病毒规则库内容;
3. 如果WEB目录下的脚本文件包含木马病毒规则库中的内容,则判断其是否包含在白名单中。如果否,则继续判断下一WEB目录下的脚本文件是否包含木马病毒规则库内容;
4. 若脚本文件包含在白名单中,则再次返回步骤2循环判断;
5. 若脚本文件未包含在白名单中,则进行报警。
以WEB服务器为WINDOWS应用平台为例:
在WEB服务器,首先获得WINDOWS的WEB站点目录及虚拟目录,启动扫描程序。WINDOWS 2003版本之前的操作系统中,隐含的注册表键值包含了WEB站点目录,查询此键值即可获得当前系统的WEB站点目录,但不能获得虚拟目录,虚拟目录的获得可以通过查询IIS的ARCHIVE库获得。WINDOWS 2003及之后的操作系统中,不能直接获得注册表,需查询IIS的ARCHIVE库,以获得所有的WEB站点目录以及虚拟目录信息。
提取木马病毒规则库信息,根据木马病毒规则库信息加载木马病毒规则库、白名单。搜集目前的ASP、JSP、PHP、ASPX等脚本语言的木马病毒样本,从中提取出木马病毒规则库信息。此木马病毒规则库信息没有统一的数据,当前根据自行搜索的约100项WEB网页木马病毒信息,从中提取了相应的规则。采用的规则信息如下:
1)程序执行规则,大多数的木马病毒都有在网页上执行系统命令的接口,一般正常的网页不会执行此类命令;
2)调用系统组件,有的木马病毒会调用系统组件,比如FSO、WSCRIPT、APPLICATION等,有的为了躲避扫描,还调用了组件对应的CLASSID直接执行,这些组件大多正常程序不会应用;
3)注册表查询,修改功能,WEB网页木马病毒为了能够更深入的提升自己的权限,往往会查询,修改注册表而达到目的;
4)文件及目录的访问,WEB网页木马病毒为了能够上传更强的系统级别木马,往往会使用该功能;
5)加密,WEB网页木马病毒为了避免被扫描,也可能使用ENCODE组件或相似的功能对网页代码加密,一般情形下的网页没有此内容。
根据上述规则信息,在WEB服务器加载包含木马病毒特征的木马病毒规则库及非木马病毒文件的白名单。在WEB服务器的扫描过程中,扫描程序调用木马病毒规则库,该木马病毒规则库为一个正则表达式,枚举WEB目录下的脚本文件,是否包含木马病毒规则库中内容。之后若WEB目录下的脚本文件包含木马病毒规则库中内容则查找白名单,若在白名单中未发现此文件在其中,则认为是木马,进行报警。
比如扫描一个木马病毒文件,文件名叫“一句话.asp”,文件内容为:<%execute(request(″#″))%>
启动我的扫描程序:
F:\网页木马项目\scanwebtrojan\Debug\scanwebtrojan.exe
在扫描过程中,扫描程序调用了木马病毒规则库:
CheckEval=`\bEval\s*[\(]?\s*request`6`
该木马病毒规则库为一个正则表达式,因为此表达式匹配上述的内容,则接下来查找白名单:
999001869=`D:\test\inc\version.inc;D:\test\admin_scanshell.asp;D:\hello\小马.asa ;D:\\website\\bsc_admin\\project\\CoolPlay\\include\\Tools.asp`
在白名单中未发现此文件在其中,则认为是木马病毒,进行报警。报警如下:
[2008.05.14 16:39:41]开始扫描文件D:\hello\一句话.asp[2008.05.14 16:39:41]192.168.70.85||文件名为D:\hello\一句话.asp Uniqueid为999006127评分值为:6
本发明的基于WEB网页的木马病毒扫描方法,可应用于WINDOWS系统平台或LINUX平台,根据其应用系统环境,建立相应的木马病毒规则库文件,用正则方式(正则表达式)匹配当前网页脚本中是否含有木马病毒规则库内包含的木马病毒特征,能在WEB服务器端,对网页脚本文件进行扫描,能扫描到WEB网页木马病毒,可在第一时间发现黑客入侵网站,不会等造成损失之后采取弥补网站漏洞,提高了网络安全检测的实时性,降低人工管理成本。
Claims (4)
1.一种基于WEB网页的木马病毒扫描方法,其特征在于,包括以下步骤:
(1).获得WEB服务器所有WEB目录;加载包含木马病毒特征的木马病毒规则库及非木马病毒文件的白名单;
(2).枚举WEB目录下的脚本文件,循环判断是否包含木马病毒规则库内容;
(3).如果WEB目录下的脚本文件包含木马病毒规则库中的内容,则进行步骤(4);如果否,进行步骤(2);
(4).若脚本文件包含在白名单中,则进行步骤(2);若脚本文件未包含在白名单中,则进行报警。
2.根据权利要求1所述的基于WEB网页的木马病毒扫描方法,其特征在于,WEB服务器为WINDOWS操作系统并置有IIS WEB引擎。
3.根据权利要求2所述的基于WEB网页的木马病毒扫描方法,其特征在于,通过查询IIS的ARCHIVE库,获得包括WEB站点目录以及虚拟目录的WEB服务器所有WEB目录。
4.根据权利要求1所述的基于WEB网页的木马病毒扫描方法,其特征在于,WEB服务器为LINUX操作系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810043452.2A CN101599947B (zh) | 2008-06-06 | 2008-06-06 | 基于web网页的木马病毒扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810043452.2A CN101599947B (zh) | 2008-06-06 | 2008-06-06 | 基于web网页的木马病毒扫描方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599947A CN101599947A (zh) | 2009-12-09 |
| CN101599947B true CN101599947B (zh) | 2014-04-23 |
Family
ID=41421196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810043452.2A Active CN101599947B (zh) | 2008-06-06 | 2008-06-06 | 基于web网页的木马病毒扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599947B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808093B (zh) * | 2010-03-15 | 2013-08-07 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN102375946B (zh) * | 2010-08-19 | 2015-06-03 | 腾讯科技(深圳)有限公司 | 一种检测网页木马的方法和装置 |
| CN102104601B (zh) * | 2011-01-14 | 2013-06-12 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN102467637A (zh) * | 2011-07-28 | 2012-05-23 | 中标软件有限公司 | 一种虚拟化环境下的反病毒系统及其反病毒方法 |
| CN102902918B (zh) * | 2012-08-06 | 2015-08-19 | 杭州创聚科技有限公司 | 一种基于复合特征码的恶意文件检测方法 |
| CN102902928B (zh) * | 2012-09-21 | 2017-02-15 | 杭州迪普科技有限公司 | 一种网页防篡改方法及装置 |
| CN103294952B (zh) * | 2012-11-29 | 2016-03-09 | 北京安天电子设备有限公司 | 一种基于页面关系检测webshell的方法及系统 |
| CN103559447B (zh) * | 2013-11-15 | 2016-05-25 | 北京奇虎科技有限公司 | 一种基于病毒样本特征的检测方法、检测装置及检测系统 |
| CN103905422B (zh) * | 2013-12-17 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
| CN103701816B (zh) * | 2013-12-27 | 2017-07-11 | 北京奇安信科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
| CN104836695A (zh) * | 2014-02-11 | 2015-08-12 | 腾讯科技(深圳)有限公司 | 系统测试过程中的安全扫描方法及测试服务器 |
| CN104462972A (zh) * | 2014-12-19 | 2015-03-25 | 浪潮电子信息产业股份有限公司 | 一种木马查杀工具 |
| CN106487771B (zh) * | 2015-09-01 | 2020-07-24 | 阿里巴巴集团控股有限公司 | 网络行为的获取方法及装置 |
| CN107463844B (zh) * | 2016-06-06 | 2020-08-25 | 国家计算机网络与信息安全管理中心 | Web木马检测方法及系统 |
| CN108173813B (zh) * | 2017-12-08 | 2021-07-20 | 国网北京市电力公司 | 漏洞检测方法及装置 |
| CN111090861B (zh) * | 2019-12-24 | 2022-09-30 | 深信服科技股份有限公司 | 一种病毒检测方法、装置及电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801033A (zh) * | 2005-11-17 | 2006-07-12 | 珠海金山软件股份有限公司 | 一种基于数据流的计算机病毒查杀方法 |
| CN101127061A (zh) * | 2006-08-16 | 2008-02-20 | 珠海金山软件股份有限公司 | 可进度预估的防治计算机病毒的装置及进度预估的方法 |
| CN101141244A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 网络加密数据病毒检测和消除系统和代理服务器及方法 |
-
2008
- 2008-06-06 CN CN200810043452.2A patent/CN101599947B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801033A (zh) * | 2005-11-17 | 2006-07-12 | 珠海金山软件股份有限公司 | 一种基于数据流的计算机病毒查杀方法 |
| CN101127061A (zh) * | 2006-08-16 | 2008-02-20 | 珠海金山软件股份有限公司 | 可进度预估的防治计算机病毒的装置及进度预估的方法 |
| CN101141244A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 网络加密数据病毒检测和消除系统和代理服务器及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599947A (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101599947B (zh) | 基于web网页的木马病毒扫描方法 | |
| JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
| US8856505B2 (en) | Malware management through kernel detection during a boot sequence | |
| US8667586B2 (en) | Backward researching time stamped events to find an origin of pestware | |
| US8719932B2 (en) | Backwards researching activity indicative of pestware | |
| US10326792B2 (en) | Virus intrusion route identification device, virus intrusion route identification method, and program | |
| JP5572763B2 (ja) | ウェブサイトスキャン装置及びその方法 | |
| US8359651B1 (en) | Discovering malicious locations in a public computer network | |
| RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
| JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
| Mercaldo et al. | Download malware? no, thanks: how formal methods can block update attacks | |
| CN102970272B (zh) | 用于病毒检测的方法、装置和云服务器 | |
| CN102081714A (zh) | 一种基于服务器反馈的云查杀方法 | |
| Eder et al. | Ananas-a framework for analyzing android applications | |
| US9087194B2 (en) | Providing information to a security application | |
| US20070006311A1 (en) | System and method for managing pestware | |
| CN107403093B (zh) | 检测多余软件的系统和方法 | |
| CN108200053B (zh) | 记录apt攻击操作的方法及装置 | |
| US20070250818A1 (en) | Backwards researching existing pestware | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| US8381300B2 (en) | Offline extraction of configuration data | |
| US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| CN111428272B (zh) | 移动存储设备的安全访问方法、设备及存储介质 | |
| RU2662391C1 (ru) | Система и способ проверки веб-ресурсов на наличие вредоносных вставок | |
| CN112507346A (zh) | 一种漏洞扫描系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENGQU INFORMATION TECH (SHANGHAI) CO., LTD. Free format text: FORMER OWNER: SHANDA NETWORKING CO., LTD. Effective date: 20130912 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130912 Address after: 201203 No. 1, building 690, blue wave road, Zhangjiang hi tech park, Shanghai Applicant after: Shengqu Information Technology (Shanghai) Co., Ltd. Address before: Shanghai city Pudong New Area 201203 GuoShouJing Road No. 356 Applicant before: Shanda computer (Shanghai) Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210318 Address after: 3 / F, building 2, No.36 and 58, Haiqu Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai, 201203 Patentee after: Shanghai Shengye Information Technology Co.,Ltd. Address before: 201203 No. 1, building 690, blue wave road, Zhangjiang hi tech park, Shanghai Patentee before: Shengqu information technology (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right |