CN109063479A - 一种木马感染终端的网络定位方法 - Google Patents

一种木马感染终端的网络定位方法 Download PDF

Info

Publication number
CN109063479A
CN109063479A CN201810815241.XA CN201810815241A CN109063479A CN 109063479 A CN109063479 A CN 109063479A CN 201810815241 A CN201810815241 A CN 201810815241A CN 109063479 A CN109063479 A CN 109063479A
Authority
CN
China
Prior art keywords
webpage
detection
horse
characteristic
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201810815241.XA
Other languages
English (en)
Inventor
王超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201810815241.XA priority Critical patent/CN109063479A/zh
Publication of CN109063479A publication Critical patent/CN109063479A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开一种木马感染终端的网络定位方法,先对网页木马进行静态检测,然后将可疑网页进行动态检测;跟踪网页木马执行过程,定位检测其Shellcode,可以有效地批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。

Description

一种木马感染终端的网络定位方法
技术领域
本发明属于木马检测技术领域,具体涉及一种木马感染终端的网络定位方法。
背景技术
木马,又称特洛伊木马,其本质是一段具有特定功能的程序代码,体积较小,伪装或者隐藏在合法的程序和进程当中,在后台收集用户的特定信息,并为控制者提供远程操控等功能。RFC1244安全手册中的定义为“特洛伊木马是这样一种程序,它提供了一些有用的功能,通常要做一些用户不希望的事情,注入在用户不知情的情况下拷贝文件或者窃取你的密码”。木马的基本原理是:典型木马通常采用C/S模式,分为客户端(控制端)和服务端(受控端)两个部分其工作原理是:黑客在自已主机上述安装客户端,然后利用多种传播手段使自已编译的木马植入他人的主机之中,木马成功植入主机后,第二步就是主机环境检测,测试当前主机环境是否可以使用自身已设定好的的方式启动(如DLL木马需伴随系统项启动),若木马没有被查杀,则在系统触发木马启动条件后,木马自动启动,并进行自我隐藏。木马的第三步就是与网络另一边的服务端建立连接。连接方式有多种:第一种是正向连接,木马在主机后台随机打开一个端口,并进行端口监听,而服务端则在互联网的另一边进行广播,当木马监听到广播后,利用TCP/IP协议建立连接;第二种是反向连接,服务端只是打开端口进行监听,而木马会按照设定好的流程主动向控制端申请建立连接;第三种是间接通信,客户端主动通过打开端口进行监听,而木马会按照设定好的流程主动向控制端申请建立连接;通信,客户端主动通过80端口向特定的网站发送信息,留下被感染主机的IP地址、物理地址和通信端口等信息,而服务端定期访问该网站,当发现信息后,双方就利用网站进行间接的通信。双方建立连接后,分成两种情况:第一,对于结构简单,只具有窃取主机信息功能的木马来说,无需服务端的操作,主动搜寻特定的信息(各种账号),并记录下所有操作者的键盘按键次序,定期发给服务端;第二,对于具有远程控制功能的木马,在双方建立连接后,由服务端先发起事件请求(如要求建立远程操作),受控端响应请求,并执行指令,之后服务端就可以进控制被感染主机进行同步操作了。
随着计算机及通信技术的飞速发展,网络在带给人们便利的同时,也给病毒、木马的泛滥提供了温床,给政府、企业及个人都带来了很大的损失。其中,木马程序造成的危害更是非常巨大的,也是非常危险的恶意程序。它能使远程用户获得本地计算机的最高操作权限,使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。
因此在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,防止木马窃取敏感信息,保护重要数据,已经成为当前信息网络安全监管或维护部门的重中之重。
发明内容
为了解决上述技术问题,本发明提供一种木马感染终端的网络定位方法。
本发明是通过以下技术方案实现的。
一种木马感染终端的网络定位方法,包括以下操作步骤:
(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的Java Script脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出Java Script脚本中类似eval()的关键函数;
(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;
(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;
(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。
具体地,上述对网页的内嵌链接进行爬虫的具体描述为:利用http协议从Web服务器站点上提取网页代码,抽取网页所需的链接;对爬取的链接进行分析,这些链接基本是一些脚本链接及网址;将JS文件中的URL放入队列;对于抽取的脚本文件[Javascript文件],采用线程机制,每个文件启动对应线程,下载脚本文件。
具体地,上述静态检测主要是网页代码中的特征数据以及关键函数中包含的特征码,利用一系列关键函数进行归纳总结并组成一个函数词库,利用静态检测模块进行检测。
具体地,上述动态检测中,Shellcode特征数据比对的方法为:网页木马中Shellcode的检测主要把整个正常执行的恶意程序反编译成机器代码,无论程序是否被混淆加密,只要检测Shellcode中调用API函数返回地址附近的特征数据源,然后截取其特征数据与木马特征库进行关联,用正则表达式匹配两者之间的数据。
由以上的技术方案可知,本发明的有益效果是:
本发明提供的一种木马感染终端的网络定位方法,先对网页木马进行静态检测,然后将可疑网页进行动态检测;跟踪网页木马执行过程,定位检测其Shellcode,可以有效地批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。
具体实施方式
下面对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
实施例
一种木马感染终端的网络定位方法,包括以下操作步骤:
(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的Java Script脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出Java Script脚本中类似eval()的关键函数;
(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;
(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;
(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。
具体地,上述对网页的内嵌链接进行爬虫的具体描述为:利用http协议从Web服务器站点上提取网页代码,抽取网页所需的链接;对爬取的链接进行分析,这些链接基本是一些脚本链接及网址;将JS文件中的URL放入队列;对于抽取的脚本文件[Javascript文件],采用线程机制,每个文件启动对应线程,下载脚本文件。
具体地,上述静态检测主要是网页代码中的特征数据以及关键函数中包含的特征码,利用一系列关键函数进行归纳总结并组成一个函数词库,利用静态检测模块进行检测。
具体地,上述动态检测中,Shellcode特征数据比对的方法为:网页木马中Shellcode的检测主要把整个正常执行的恶意程序反编译成机器代码,无论程序是否被混淆加密,只要检测Shellcode中调用API函数返回地址附近的特征数据源,然后截取其特征数据与木马特征库进行关联,用正则表达式匹配两者之间的数据。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (4)

1.一种木马感染终端的网络定位方法,其特征在于,包括以下操作步骤:
(1)构建测试网页木马样例,对检测到样本,提取网页内容,剥离出具有特定特征的Java Script脚本,对其中某些网页木马所使用的关键函数利用反混淆技术进行处理,取出Java Script脚本中类似eval()的关键函数;
(2)对网页内容利用静态检测模块进行检测,解析特征码,将特征码与木马特征库进行匹配,如果在木马特征库中检测到特征码,说明测试页面含有木马;
(3)如若检测正常,对网页的内嵌链接进行爬虫,提取各个网页的信息,对检测混淆脚本代码进行混淆页面分析;
(4)利用解码模块进行解密还原,对还原的原始代码,首先采用网页木马静态检测模块对其检测分析,提取检测到网页木马的特征与后台数据库的特征数据进行比对,如果比对成功,则说明网页中含有网页木马,否则,继续对其进行网页木马的动态检测,通过对解码后的一些重点API函数的参数监控,下载其参数对应的数据后,进行Shellcode特征数据比对,如果成功,则表明存在恶意Shellcode。
2.根据权利要求1所述的一种木马感染终端的网络定位方法,其特征在于,上述对网页的内嵌链接进行爬虫的具体描述为:利用http协议从Web服务器站点上提取网页代码,抽取网页所需的链接;对爬取的链接进行分析,这些链接基本是一些脚本链接及网址;将JS文件中的URL放入队列;对于抽取的脚本文件[Javascript文件],采用线程机制,每个文件启动对应线程,下载脚本文件。
3.根据权利要求1所述的一种木马感染终端的网络定位方法,其特征在于,上述静态检测主要是网页代码中的特征数据以及关键函数中包含的特征码,利用一系列关键函数进行归纳总结并组成一个函数词库,利用静态检测模块进行检测。
4.根据权利要求1所述的一种木马感染终端的网络定位方法,其特征在于,上述动态检测中,Shellcode特征数据比对的方法为:网页木马中Shellcode的检测主要把整个正常执行的恶意程序反编译成机器代码,无论程序是否被混淆加密,只要检测Shellcode中调用API函数返回地址附近的特征数据源,然后截取其特征数据与木马特征库进行关联,用正则表达式匹配两者之间的数据。
CN201810815241.XA 2018-07-24 2018-07-24 一种木马感染终端的网络定位方法 Withdrawn CN109063479A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810815241.XA CN109063479A (zh) 2018-07-24 2018-07-24 一种木马感染终端的网络定位方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810815241.XA CN109063479A (zh) 2018-07-24 2018-07-24 一种木马感染终端的网络定位方法

Publications (1)

Publication Number Publication Date
CN109063479A true CN109063479A (zh) 2018-12-21

Family

ID=64836168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810815241.XA Withdrawn CN109063479A (zh) 2018-07-24 2018-07-24 一种木马感染终端的网络定位方法

Country Status (1)

Country Link
CN (1) CN109063479A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109784059A (zh) * 2019-01-11 2019-05-21 北京中睿天下信息技术有限公司 一种木马文件溯源方法、系统及设备
CN116016479A (zh) * 2022-12-05 2023-04-25 北京天融信网络安全技术有限公司 服务器控制方法、装置、电子设备及计算机可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109784059A (zh) * 2019-01-11 2019-05-21 北京中睿天下信息技术有限公司 一种木马文件溯源方法、系统及设备
CN116016479A (zh) * 2022-12-05 2023-04-25 北京天融信网络安全技术有限公司 服务器控制方法、装置、电子设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
US8578499B1 (en) Script-based scan engine embedded in a webpage for protecting computers against web threats
EP3295359B1 (en) Detection of sql injection attacks
CN101820419B (zh) 一种挂马网页中网页木马挂接点自动定位方法
CN102609649B (zh) 一种自动采集恶意软件的方法和装置
Kirda et al. Noxes: a client-side solution for mitigating cross-site scripting attacks
US8499283B2 (en) Detection of scripting-language-based exploits using parse tree transformation
Le et al. DoubleGuard: Detecting intrusions in multitier web applications
CN105491053A (zh) 一种Web恶意代码检测方法及系统
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
EP2447878A1 (en) Web based remote malware detection
JP2014203464A (ja) クライアントベースローカルマルウェア検出方法
CN109347882B (zh) 网页木马监测方法、装置、设备及存储介质
CN101964026A (zh) 网页挂马检测方法和系统
US11973780B2 (en) Deobfuscating and decloaking web-based malware with abstract execution
WO2017056121A1 (en) Method for the identification and prevention of client-side web attacks
CN102158499B (zh) 基于http流量分析的挂马网站检测方法
CN107579997A (zh) 无线网络入侵检测系统
Neugschwandtner et al. Detecting malware's failover C&C strategies with squeeze
Ng et al. Applying data mining techniques to intrusion detection
CN102185859A (zh) 计算机系统和数据交互方法
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
Gorji et al. Detecting obfuscated JavaScript malware using sequences of internal function calls
CN107566401A (zh) 虚拟化环境的防护方法及装置
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
Djanali et al. SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20181221