国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種網(wǎng)頁(yè)木馬檢測(cè)方法及系統(tǒng)的制作方法

      文檔序號(hào):6443082閱讀:207來(lái)源:國(guó)知局
      專利名稱:一種網(wǎng)頁(yè)木馬檢測(cè)方法及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種網(wǎng)頁(yè)木馬檢測(cè)方法及系統(tǒng)。
      背景技術(shù)
      網(wǎng)頁(yè)木馬是一種黑客常用的攻擊手段,網(wǎng)頁(yè)木馬通常利用第三方軟件漏洞對(duì)操作系統(tǒng)進(jìn)行攻擊。從攻擊效果上來(lái)看可以被區(qū)分為兩種,一種是瀏覽器自身導(dǎo)致的原因,另一種是ActiveX控件導(dǎo)致的原因。第一種主要是直接利用瀏覽器自身存在的漏洞進(jìn)行惡意攻擊,而第二種則相當(dāng)于是間接地利用瀏覽器來(lái)實(shí)現(xiàn)對(duì)用戶系統(tǒng)的攻擊。它們主要是利用了其它第三方軟件的漏洞,例如“暴風(fēng)影音”網(wǎng)頁(yè)木馬,出現(xiàn)漏洞的對(duì)象并不是瀏覽器本身,而是“暴風(fēng)影音”這一第三方軟件。這就意味著,只有當(dāng)用戶系統(tǒng)上安裝了 “暴風(fēng)影音”,才會(huì)被這種網(wǎng)頁(yè)木馬程序攻擊。當(dāng)瀏覽器訪問(wèn)到這類網(wǎng)頁(yè)木馬程序后,網(wǎng)頁(yè)代碼中的Object對(duì)象會(huì)使得瀏覽器自動(dòng)調(diào)用存在漏洞的其他軟件。于是漏洞就會(huì)被觸發(fā),瀏覽器軟件的運(yùn)行流程被網(wǎng)頁(yè)木馬控制,接下來(lái)就會(huì)執(zhí)行惡意的Siell Code。為了檢測(cè)出網(wǎng)頁(yè)中是否存在網(wǎng)頁(yè)木馬,可以構(gòu)造一個(gè)網(wǎng)頁(yè)木馬檢測(cè)環(huán)境,這種木馬檢測(cè)環(huán)境是一個(gè)運(yùn)行在云端的系統(tǒng),它會(huì)自動(dòng)訪問(wèn)互聯(lián)網(wǎng)中的網(wǎng)頁(yè),判斷哪些網(wǎng)頁(yè)中存在木馬,前提是,已知第三方軟件存在哪些漏洞,檢測(cè)網(wǎng)頁(yè)中是否存在針對(duì)這些已知的漏洞進(jìn)行攻擊的木馬。網(wǎng)頁(yè)木馬檢測(cè)環(huán)境在進(jìn)行網(wǎng)頁(yè)木馬檢測(cè)時(shí)通常會(huì)使用行為檢測(cè)的方式,也就是說(shuō)要根據(jù)網(wǎng)頁(yè)運(yùn)行過(guò)程中的具體行為去檢測(cè)網(wǎng)頁(yè)中是否存在木馬。因此,如果想要判斷網(wǎng)頁(yè)中是否存在針對(duì)某第三方軟件的漏洞進(jìn)行攻擊的木馬,就需要在該網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中安裝這個(gè)第三方軟件,使得網(wǎng)頁(yè)能夠調(diào)用到漏洞函數(shù),觸發(fā)攻擊行為,這樣通過(guò)判斷是否調(diào)用這個(gè)漏洞函數(shù)的行為,來(lái)確定出網(wǎng)頁(yè)中是否存在針對(duì)該第三方軟件的漏洞進(jìn)行攻擊的木馬。但是,同一款第三方軟件可能會(huì)有多個(gè)版本,不同的版本可能存在不同的漏洞,而黑客可能會(huì)針對(duì)多個(gè)不同版本的漏洞進(jìn)行組合攻擊,也就是說(shuō),一個(gè)網(wǎng)頁(yè)可能會(huì)攻擊同一軟件不同版本的多種漏洞。如果網(wǎng)頁(yè)木馬檢測(cè)環(huán)境只存在一個(gè)版本的軟件漏洞被黑客攻擊,將不能覆蓋到全部的漏洞,甚至如果網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中存在高版本軟件漏洞而攻擊者攻擊的是低版本軟件漏洞,或網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中存在低版本軟件漏洞而攻擊的是針對(duì)高版本軟件漏洞的情況,則最終將導(dǎo)致無(wú)法檢測(cè)出網(wǎng)頁(yè)中存在的木馬,出現(xiàn)漏檢或者誤檢。如果木馬檢測(cè)環(huán)境中能夠同時(shí)存在同一第三方軟件的多個(gè)不同版本,則可以將這種組合攻擊的行為檢測(cè)出來(lái),并且防止漏檢或誤檢;但是,就像同一臺(tái)電腦上不能直接安裝多個(gè)版本的同一軟件一樣,木馬檢測(cè)環(huán)境中也是如此,除非創(chuàng)建多個(gè)不同的網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,分別在各個(gè)環(huán)境中安裝軟件的不同版本,然后再去檢測(cè)針對(duì)不同版本進(jìn)行攻擊的網(wǎng)頁(yè)木馬。但是,顯然這會(huì)大大增加網(wǎng)頁(yè)木馬檢測(cè)環(huán)境的硬件資源消耗,木馬檢測(cè)流程也會(huì)比較復(fù)雜。

      發(fā)明內(nèi)容
      本發(fā)明提供了一種網(wǎng)頁(yè)木馬檢測(cè)方法及系統(tǒng),能夠使得網(wǎng)頁(yè)木馬檢測(cè)環(huán)境能夠兼容同一個(gè)軟件的多個(gè)版本漏洞,提高網(wǎng)頁(yè)木馬檢測(cè)的準(zhǔn)確性和擴(kuò)展性。本發(fā)明提供了如下方案一種網(wǎng)頁(yè)木馬檢測(cè)方法,應(yīng)用于網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,模擬ActiveX控件,將同一個(gè)第三方軟件的不同版本中存在的不同漏洞函數(shù)整合到所述模擬的ActiveX控件中,并將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的ActiveX控件的同一classid相同,將所述模擬的ActiveX控件安裝在所述網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中;所述方法包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。其中,所述接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用漏洞函數(shù)的消息包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用第三方軟件的某版本中存在的漏洞函數(shù)的消息。其中,所述接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用漏洞函數(shù)的消息包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用第三方軟件的至少兩個(gè)版本中存在的漏洞函數(shù)的消息。其中,監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬包括檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否主動(dòng)下載木馬文件并運(yùn)行惡意命令;如果是,則所述網(wǎng)頁(yè)中存在木馬。其中,通過(guò)對(duì)已下載文件的統(tǒng)一資源定位符URL進(jìn)行分析,判斷所述URL是否包括可執(zhí)行文件格式的后綴,來(lái)判定所述已下載文件是否為木馬文件。其中,所述第三方軟件為用于通過(guò)ActiveX控件對(duì)瀏覽器功能進(jìn)行增強(qiáng)的軟件。一種網(wǎng)頁(yè)木馬檢測(cè)系統(tǒng),應(yīng)用于網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,模擬ActiveX控件,將同一個(gè)第三方軟件的不同版本中存在的不同漏洞函數(shù)整合到所述模擬的ActiveX控件中,并將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的ActiveX控件的同一classid相同,將所述模擬的ActiveX控件安裝在所述網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中;所述系統(tǒng)包括調(diào)用請(qǐng)求接收單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;函數(shù)返回單元,用于將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;監(jiān)控單元,用于監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。其中,所述調(diào)用請(qǐng)求接收單元包括
      第一接收子單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用第三方軟件的某版本中存在的漏洞函數(shù)的消息。其中,所述調(diào)用請(qǐng)求接收單元包括第二接收子單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用第三方軟件的至少兩個(gè)版本中存在的漏洞函數(shù)的消息。其中,所述監(jiān)控單元包括檢測(cè)子單元,用于檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否主動(dòng)下載木馬文件并運(yùn)行惡意命令;確定子單元,用于如果是,則所述網(wǎng)頁(yè)中存在木馬。其中,所述檢測(cè)子單元通過(guò)對(duì)已下載文件的統(tǒng)一資源定位符URL進(jìn)行分析,判斷所述URL是否包括可執(zhí)行文件格式的后綴,來(lái)判定所述已下載文件是否為木馬文件。其中,所述第三方軟件為用于通過(guò)ActiveX控件對(duì)瀏覽器功能進(jìn)行增強(qiáng)的軟件。根據(jù)本發(fā)明提供的具體實(shí)施例,本發(fā)明公開(kāi)了以下技術(shù)效果通過(guò)本發(fā)明,由于在同一 ActiveX控件中模擬了同一第三方軟件的多個(gè)版本的漏洞函數(shù),因此,能夠使得網(wǎng)頁(yè)木馬檢測(cè)環(huán)境能夠兼容同一個(gè)軟件的多個(gè)版本漏洞,從而更為全面地檢測(cè)出網(wǎng)頁(yè)中存在的木馬,提高網(wǎng)頁(yè)木馬檢測(cè)的準(zhǔn)確性和擴(kuò)展性,降低出現(xiàn)漏檢現(xiàn)象的概率,并且避免造成對(duì)網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中硬件資源的浪費(fèi)。


      為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實(shí)施例提供的方法的流程圖;圖2是本發(fā)明實(shí)施例提供的裝置的示意圖。
      具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。首先需要說(shuō)明的是,由于網(wǎng)頁(yè)木馬通常是通過(guò)網(wǎng)頁(yè)中的腳本執(zhí)行惡意代碼來(lái)達(dá)到攻擊用戶系統(tǒng)的目的,而網(wǎng)頁(yè)一般是由瀏覽器打開(kāi)的,因此,如果網(wǎng)頁(yè)木馬想要針對(duì)瀏覽器之外的其他第三方軟件的漏洞進(jìn)行攻擊,則該網(wǎng)頁(yè)要能夠通過(guò)瀏覽器調(diào)用到第三方軟件的函數(shù)才能實(shí)現(xiàn)。另一方面,ActiveX控件是一種用于增強(qiáng)網(wǎng)頁(yè)功能的代碼,例如,想要在網(wǎng)頁(yè)中調(diào)用“迅雷”等下載工具進(jìn)行文件的下載,就需要首先安裝相應(yīng)的ActiveX控件,然后才能通過(guò)該ActiveX控件調(diào)用到下載工具,進(jìn)而利用該下載工具完成下載任務(wù)??梢?jiàn),如果想要在網(wǎng)頁(yè)中直接調(diào)用瀏覽器之外的第三方軟件,則需要借助于ActiveX控件。換言之,正是由于
      6ActiveX控件的存在,使得瀏覽器中打開(kāi)的網(wǎng)頁(yè)能夠調(diào)用到第三方軟件,進(jìn)而,也就使得網(wǎng)頁(yè)木馬調(diào)用第三方軟件中存在的漏洞函數(shù)成為了可能。也就是說(shuō),通過(guò)ActiveX控件,允許網(wǎng)頁(yè)通過(guò)腳本和控件交互產(chǎn)生更加豐富的效果,但同時(shí)也可能帶來(lái)一些安全性的問(wèn)題。因此,本發(fā)明實(shí)施例中所述的第三方軟件可以是指用于通過(guò)ActiveX控件對(duì)瀏覽器功能進(jìn)行增強(qiáng)的軟件??傊?,第三方軟件之所有會(huì)受到網(wǎng)頁(yè)木馬的攻擊,是因?yàn)榈谌杰浖写嬖诼┒矗?網(wǎng)頁(yè)代碼中的Object對(duì)象會(huì)使得瀏覽器自動(dòng)調(diào)用存在漏洞的其他第三方軟件。于是漏洞被觸發(fā),瀏覽器軟件的運(yùn)行流程被網(wǎng)頁(yè)木馬控制,接下來(lái)就會(huì)執(zhí)行惡意的SiellCode。但是并不是所有的第三方軟件出現(xiàn)的所有漏洞都可以被利用來(lái)作網(wǎng)頁(yè)木馬,如果一個(gè)第三方軟件與瀏覽器完全無(wú)關(guān),則一般不會(huì)稱為網(wǎng)頁(yè)木馬的攻擊對(duì)象。因此,只有第三方軟件的 ActiveX控件出現(xiàn)漏洞,才有可能被利用而成為網(wǎng)頁(yè)木馬。而本發(fā)明實(shí)施例提供的網(wǎng)頁(yè)木馬檢測(cè)方法中,為了使得網(wǎng)頁(yè)木馬檢測(cè)環(huán)境能夠兼容同一軟件的不同版本,就是從ActiveX控件入手,進(jìn)行了相關(guān)的處理。具體實(shí)現(xiàn)時(shí),首先針對(duì)某第三方軟件,首先找出用戶常用的所有版本,并分別找出各個(gè)版本中存在的漏洞函數(shù),然后模擬各個(gè)版本中的漏洞函數(shù),保證模擬軟件與原始軟件在觸發(fā)上無(wú)差異;然后將模擬出的各個(gè)版本中的漏洞函數(shù)整合到一個(gè)ActiveX控件中,再將該模擬的ActiveX控件安裝到網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中。以確保無(wú)論網(wǎng)頁(yè)木馬針對(duì)哪個(gè)版本的軟件進(jìn)行攻擊,都能觸發(fā)漏洞,進(jìn)而根據(jù)具體的行為檢測(cè)出該網(wǎng)頁(yè)木馬。例如,已知音樂(lè)播放器某版本的ActiveX控件中的OnBeforeVideoDownload()函數(shù)棧存在溢出漏洞(由于是已知的漏洞,因此通常會(huì)在中國(guó)國(guó)家信息安全漏洞庫(kù)(CNNVD) 中收錄;假設(shè)該漏洞的CNNVD編號(hào)為CNNVD-200709-127),另一版本的ActiveX控件中的 rawParse ()函數(shù)棧存在遠(yuǎn)程溢出漏洞(假設(shè)該漏洞的CNNVD編號(hào)為CNNVD-200905-130)。 這兩個(gè)漏洞都是ActiveX控件mps. dll出現(xiàn)的安全漏洞,然而兩個(gè)漏洞存在長(zhǎng)時(shí)間(例如2 年)的軟件升級(jí)周期,兩個(gè)漏洞存在多個(gè)版本的間隔。如果實(shí)在一般的網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,由于只能安裝一個(gè)版本的該音樂(lè)播放器軟件,則如果網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中安裝了存在 CNNVD-200905-130漏洞的該音樂(lè)播放器軟件后,該網(wǎng)頁(yè)木馬檢測(cè)環(huán)境就就只能檢測(cè)出針對(duì) CNNVD-200905-130漏洞進(jìn)行攻擊的網(wǎng)頁(yè)木馬,無(wú)法再兼容檢測(cè)出針對(duì)CNNVD-200905-127 漏洞進(jìn)行攻擊的網(wǎng)頁(yè)木馬。而在本發(fā)明實(shí)施例中,就可以同一個(gè)mps. dll控件中,模擬CNNVD-200905-130和 CNNVD-200905-127 這兩個(gè)漏洞的原始 ActiveX 控件的 classid“6BE52ElD-E586_474f-A6E2 -1A85A9B4D9FB”(由于是同一第三方軟件的不同版本的ActiveX控件,因此,其classid是相同的),由于網(wǎng)頁(yè)木馬在通過(guò)不同的控件調(diào)用各個(gè)軟件中的漏洞函數(shù)時(shí),就是用classid 來(lái)區(qū)分不同的控件的,也就是說(shuō),如果某網(wǎng)頁(yè)木馬想要通過(guò)控件A調(diào)用某漏洞函數(shù),則會(huì)在調(diào)用請(qǐng)求中寫(xiě)明這個(gè)控件的classid。因此,如果本發(fā)明實(shí)施例模擬出的控件也模擬出原始的classid,則網(wǎng)頁(yè)就能夠通過(guò)Object對(duì)象標(biāo)簽調(diào)用本發(fā)明模擬出的ActiveX控件。例如,可以通過(guò)以下語(yǔ)句進(jìn)行調(diào)用模擬出的ActiveX控件〈object classid =" clsid :6BE52E1D-E586474f-A6E2_1A85A9B4D9FB〃 id =‘target‘ ></object>0另外,還需要在ActiveX控件中模擬兩個(gè)漏洞中分別出現(xiàn)的OnBeforeVideoDownload函數(shù)和rawParse函數(shù)中的漏洞代碼,這樣,使得網(wǎng)頁(yè)中的腳本既可以調(diào)用rawParse函數(shù)(target. rawParse (buffer)),也可以調(diào)用 OnBeforeVideoDownload 函數(shù)(target. OnBeforeVideoDownload (buffer))??傊?,還需要模擬出原始軟件的ActiveX控件的classid,使得網(wǎng)頁(yè)能夠調(diào)用到該模擬出的ActiveX控件;同時(shí)需要在該模擬出的ActiveX控件中整合模擬多個(gè)版本的漏洞函數(shù),使得網(wǎng)頁(yè)能夠調(diào)用任意一個(gè)版本存在的漏洞函數(shù),進(jìn)而對(duì)腳本的運(yùn)行行為進(jìn)行檢測(cè), 判斷其中是否存在網(wǎng)頁(yè)木馬。在進(jìn)行了上述準(zhǔn)備工作之后,就可以將模擬出的ActiveX控件安裝在網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,同時(shí),本發(fā)明實(shí)施例還提供了一種網(wǎng)頁(yè)木馬檢測(cè)方法,具體在進(jìn)行網(wǎng)頁(yè)木馬的檢測(cè)時(shí),參見(jiàn)圖1,可以包括以下步驟SlOl 接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;由于已經(jīng)將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的 ActiveX控件的同一 classid相同,因此,網(wǎng)頁(yè)中的腳本就可以通過(guò)該classid調(diào)用到模擬出的ActiveX控件中整合的漏洞函數(shù)。其中,由于一個(gè)網(wǎng)頁(yè)中的木馬可能僅針對(duì)一個(gè)版本的漏洞函數(shù)進(jìn)行攻擊,也可能針對(duì)多個(gè)版本的不同漏洞函數(shù)進(jìn)行組合攻擊,因此,這里的調(diào)用請(qǐng)求中,可能是調(diào)用其中某個(gè)版本中的漏洞函數(shù),也可能是調(diào)用多個(gè)版本中的漏洞函數(shù)。S102 將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;不同的漏洞函數(shù)具有不同的名稱,而網(wǎng)頁(yè)中的腳本在調(diào)用不同的函數(shù)時(shí),會(huì)帶上各自的函數(shù)名,因此,直接根據(jù)調(diào)用請(qǐng)求中函數(shù)名,就可以得知網(wǎng)頁(yè)中的腳本需要調(diào)用的是哪個(gè)或者哪幾個(gè)函數(shù),進(jìn)而將對(duì)應(yīng)的函數(shù)返回給網(wǎng)頁(yè)中運(yùn)行的腳本即可。S103 監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。在將漏洞函數(shù)返回給網(wǎng)頁(yè)中運(yùn)行的腳本之后,如果網(wǎng)頁(yè)中確實(shí)存在木馬,就會(huì)觸發(fā)木馬的攻擊行為,因此,繼續(xù)對(duì)腳本的行為進(jìn)行監(jiān)控,就能夠確定其中是否存在木馬。具體在進(jìn)行行為監(jiān)控時(shí),由于瀏覽器訪問(wèn)正常的網(wǎng)頁(yè)時(shí)一般不會(huì)自動(dòng)下載可執(zhí)行文件(簡(jiǎn)稱 PE文件)或運(yùn)行可疑的命令,而典型的網(wǎng)頁(yè)木馬的惡意行為通常都會(huì)下載一個(gè)木馬文件到本地運(yùn)行,所以監(jiān)控這兩個(gè)行為,就能判別出網(wǎng)頁(yè)木馬。具體的,可以通過(guò)以下步驟進(jìn)行 首先,檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否下載木馬文件,具體可以對(duì)已下載文件的URL(Uniform/ Universal Resource Locator,統(tǒng)一資源定位符)進(jìn)行分析,看URL是否包括典型的PE文件格式的后綴,判定文件格式是否是PE類型,并去掉一些正常的PE下載情況;然后,檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否運(yùn)行惡意命令,具體可以通過(guò)檢查瀏覽器執(zhí)行的可執(zhí)行文件的路徑和命令參數(shù)來(lái)進(jìn)行檢測(cè)。如果存在上述兩類行為,即可判定為網(wǎng)頁(yè)中包含惡意的木馬??傊?,在本發(fā)明實(shí)施例中,由于在同一 ActiveX控件中模擬了同一第三方軟件的多個(gè)版本的漏洞函數(shù),因此,能夠使得網(wǎng)頁(yè)木馬檢測(cè)環(huán)境能夠兼容同一個(gè)軟件的多個(gè)版本漏洞,從而更為全面地檢測(cè)出網(wǎng)頁(yè)中存在的木馬,提高網(wǎng)頁(yè)木馬檢測(cè)的準(zhǔn)確性和擴(kuò)展性,降低出現(xiàn)漏檢現(xiàn)象的概率,并且避免造成對(duì)網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中硬件資源的浪費(fèi)。與本發(fā)明實(shí)施例提供的網(wǎng)頁(yè)木馬檢測(cè)方法相對(duì)應(yīng),本發(fā)明實(shí)施例還提供了一種網(wǎng)頁(yè)木馬檢測(cè)系統(tǒng),參見(jiàn)圖2,該系統(tǒng)應(yīng)用于網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,具體實(shí)現(xiàn)時(shí),可以模擬 ActiveX控件,將同一個(gè)第三方軟件的不同版本中存在的不同漏洞函數(shù)整合到所述模擬的 ActiveX控件中,并將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的ActiveX控件的同一 classid相同,將所述模擬的ActiveX控件安裝在所述網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中;參見(jiàn)圖2,所述系統(tǒng)包括調(diào)用請(qǐng)求接收單,201,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;函數(shù)返回單元202,用于將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;監(jiān)控單元203,用于監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。其中,調(diào)用請(qǐng)求接收單元201可以包括第一接收子單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用第三方軟件的某版本中存在的漏洞函數(shù)的消息?;蛘?,調(diào)用請(qǐng)求接收單元201也可以包括第二接收子單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用第三方軟件的至少兩個(gè)版本中存在的漏洞函數(shù)的消息。具體實(shí)現(xiàn)時(shí),監(jiān)控單元203可以包括檢測(cè)子單元,用于檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否主動(dòng)下載木馬文件并運(yùn)行惡意命令;確定子單元,用于如果是,則所述網(wǎng)頁(yè)中存在木馬。其中,所述檢測(cè)子單元可以通過(guò)對(duì)已下載文件的統(tǒng)一資源定位符URL進(jìn)行分析, 判斷所述URL是否包括可執(zhí)行文件格式的后綴,來(lái)判定所述已下載文件是否為木馬文件。其中,第三方軟件為用于通過(guò)ActiveX控件對(duì)瀏覽器功能進(jìn)行增強(qiáng)的軟件??傊诒景l(fā)明實(shí)施例提供的網(wǎng)頁(yè)木馬檢測(cè)系統(tǒng)中,由于在同一 ActiveX控件中模擬了同一第三方軟件的多個(gè)版本的漏洞函數(shù),因此,能夠使得網(wǎng)頁(yè)木馬檢測(cè)環(huán)境能夠兼容同一個(gè)軟件的多個(gè)版本漏洞,從而更為全面地檢測(cè)出網(wǎng)頁(yè)中存在的木馬,提高網(wǎng)頁(yè)木馬檢測(cè)的準(zhǔn)確性和擴(kuò)展性,降低出現(xiàn)漏檢現(xiàn)象的概率,并且避免造成對(duì)網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中硬件資源的浪費(fèi)。通過(guò)以上的實(shí)施方式的描述可知,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如ROM/RAM、磁碟、光盤(pán)等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備 (可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其,對(duì)于裝置或系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述得比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。 以上對(duì)本發(fā)明所提供的一種網(wǎng)頁(yè)木馬檢測(cè)方法及系統(tǒng),進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想, 在具體實(shí)施方式
      及應(yīng)用范圍上均會(huì)有改變之處。綜上所述,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
      權(quán)利要求
      1.一種網(wǎng)頁(yè)木馬檢測(cè)方法,應(yīng)用于網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,其特征在于,模擬ActiveX控件,將同一個(gè)第三方軟件的不同版本中存在的不同漏洞函數(shù)整合到所述模擬的ActiveX控件中,并將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的ActiveX 控件的同一 classid相同,將所述模擬的ActiveX控件安裝在所述網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中;所述方法包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。
      2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述 classid向所述模擬的ActiveX控件發(fā)出的調(diào)用漏洞函數(shù)的消息包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用第三方軟件的某版本中存在的漏洞函數(shù)的消息。
      3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述 classid向所述模擬的ActiveX控件發(fā)出的調(diào)用漏洞函數(shù)的消息包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用第三方軟件的至少兩個(gè)版本中存在的漏洞函數(shù)的消息。
      4.根據(jù)權(quán)利要求1所述的方法,其特征在于,監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬包括檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否主動(dòng)下載木馬文件并運(yùn)行惡意命令;如果是,則所述網(wǎng)頁(yè)中存在木馬。
      5.根據(jù)權(quán)利要求4所述的方法,其特征在于,通過(guò)對(duì)已下載文件的統(tǒng)一資源定位符URL 進(jìn)行分析,判斷所述URL是否包括可執(zhí)行文件格式的后綴,來(lái)判定所述已下載文件是否為木馬文件。
      6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法,其特征在于,所述第三方軟件為用于通過(guò) ActiveX控件對(duì)瀏覽器功能進(jìn)行增強(qiáng)的軟件。
      7.一種網(wǎng)頁(yè)木馬檢測(cè)系統(tǒng),應(yīng)用于網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,其特征在于,模擬ActiveX控件,將同一個(gè)第三方軟件的不同版本中存在的不同漏洞函數(shù)整合到所述模擬的ActiveX控件中,并將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的ActiveX 控件的同一 classid相同,將所述模擬的ActiveX控件安裝在所述網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中;所述系統(tǒng)包括調(diào)用請(qǐng)求接收單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;函數(shù)返回單元,用于將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;監(jiān)控單元,用于監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。
      8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述調(diào)用請(qǐng)求接收單元包括第一接收子單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用第三方軟件的某版本中存在的漏洞函數(shù)的消息。
      9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述調(diào)用請(qǐng)求接收單元包括第二接收子單元,用于接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的 ActiveX控件發(fā)出的調(diào)用第三方軟件的至少兩個(gè)版本中存在的漏洞函數(shù)的消息。
      10.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述監(jiān)控單元包括檢測(cè)子單元,用于檢測(cè)網(wǎng)頁(yè)中運(yùn)行的腳本是否主動(dòng)下載木馬文件并運(yùn)行惡意命令; 確定子單元,用于如果是,則所述網(wǎng)頁(yè)中存在木馬。
      11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,所述檢測(cè)子單元通過(guò)對(duì)已下載文件的統(tǒng)一資源定位符URL進(jìn)行分析,判斷所述URL是否包括可執(zhí)行文件格式的后綴,來(lái)判定所述已下載文件是否為木馬文件。
      12.根據(jù)權(quán)利要求7至11任一項(xiàng)所述的系統(tǒng),其特征在于,所述第三方軟件為用于通過(guò) ActiveX控件對(duì)瀏覽器功能進(jìn)行增強(qiáng)的軟件。
      全文摘要
      本發(fā)明公開(kāi)了一種網(wǎng)頁(yè)木馬檢測(cè)方法及系統(tǒng),應(yīng)用于網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中,模擬ActiveX控件,將同一個(gè)第三方軟件的不同版本中存在的不同漏洞函數(shù)整合到所述模擬的ActiveX控件中,并將模擬的ActiveX控件的classid置為與不同版本的所述第三方軟件的ActiveX控件的同一classid相同,將所述模擬的ActiveX控件安裝在所述網(wǎng)頁(yè)木馬檢測(cè)環(huán)境中;其中,所述方法包括接收網(wǎng)頁(yè)中運(yùn)行的腳本通過(guò)所述classid向所述模擬的ActiveX控件發(fā)出的調(diào)用的漏洞函數(shù)的消息;將所述模擬的ActiveX控件中的存在的對(duì)應(yīng)的漏洞函數(shù)返回給所述網(wǎng)頁(yè)中運(yùn)行的腳本;監(jiān)控所述腳本的行為,以便確定所述網(wǎng)頁(yè)中是否存在木馬。能夠使得網(wǎng)頁(yè)木馬檢測(cè)環(huán)境能夠兼容同一個(gè)軟件的多個(gè)版本漏洞,提高網(wǎng)頁(yè)木馬檢測(cè)的準(zhǔn)確性和擴(kuò)展性。
      文檔編號(hào)G06F21/00GK102446253SQ20111043957
      公開(kāi)日2012年5月9日 申請(qǐng)日期2011年12月23日 優(yōu)先權(quán)日2011年12月23日
      發(fā)明者劉起, 宋申雷 申請(qǐng)人:北京奇虎科技有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1