网页木马的防御与检测技术

【摘要】计算机网络技术不断发展，现在计算机互联网已经被应用到人们生活工作的各个领域中。但是基于互联网使用特点，其在为人们带来方便的同时，也带来了一定的安全威胁，其中网页木马是比较常见的一种问题。虽然现在大部分人都能够掌握计算机的基本操作，但是受专业技术与安全意识影响，经常会因为安全保护与日常操作不当而中毒，影响计算机的正常使用。本文基于网页木马病毒的危害，对其的防御与检测技术进行了分析。

【关键词】网页木马;防御;检测

计算机互联网使用具有开放性、脆弱性以及不安全性，在计算机技术快速发展的背景下，计算机安全问题也日益严重，最为典型的就是用户受到大规模木马、计算机病毒攻击。在木马病毒中，网页木马之多简单，并且传播速度快、破坏力强、变种形式多等特点，已经成为恶意程序传播的主要形式之一，对人们使用互联网造成严重威胁。针对此，必须要结合其特点，加强对网页木马防御与检测技术的研究。

一、网页木马简析

1.网页木马攻击原理

网页木马本质上为一个HTML网页，由网络攻击者制作，一旦访问此网页就会中木马。此网页中的脚本，主要是通过利用IE浏览器、软件以及系统的漏洞，通过IE在后台自动下载放置在网络空间上的木马安装并运行。普通的网页在打开后并不会自动下载与运行程序，主要因为IE浏览器禁止自动下载，但是因为存在漏洞，正好被网页木马所利用。目前常见的网页木马主要是利用WSH、JS.ActiveX共同合作来完成对客户端计算机的控制。

2.网页木马攻击实现方法

（1）放置木马到制定目录

将木马程度放置到计算机内指定的目录内，将其伪装成系统文件。即调用Scripting.FileSystemObjet组件完成已下载木马程序的拷贝，并将其放置在制定目录中，完成相应文件夹与文件的重命名、移动以及删除等操作[1]。

（2）下载木马程序

使用Microsoft.XMLHTTP对象与ADODB.Stream对象将网站上提前设置的木马文件下载到客户端计算机上，其中Microsoft.XMLHTTP对象负责获取木马文件数据，而ADODB.Stream对象而完成将木马文件保存在客户端计算机磁盘[2]。

（3）注入木马病毒

向客户端计算机中注入木马程序存在多种方法，一般情况下，对于com组件形式木马，作者会将com组件做成“浏览器插件”、“Shell扩展”、“地址栏挂钩”、“Office的Addin程序”以及“网络协议劫持插件”等形式，然后将其注入到计算机系统。

此种方式还需要进行注册表修改操作，脚本程序能够通过调用WScript.Shell对象的RegRead、RegWrite、RegDelete方法来完成对注册表的操作[3]。

二、网页木马攻击方式研究

1.主动攻击

通过欺骗与引诱等方式，诱导用户访问设置有网页木马的网站，一旦用户访问网站，点击存在木马的网页，就有可能感染恶意软件，是一种比较常见的攻击方式。此种攻击方式常见于论坛、博客、聊天室等用户比较集中的区域，另外还有各种色情内容的链接、在线游戏聊天频道内中奖信息等。

2.被动攻击

主要是攻击者通过入侵访问量大的网站，然后在此网站内插入网页木马代码，例如高校网站被挂马，这样在考生以及其他用户访问此类网站后，就会被木马或者其他病毒集中，是现在计算机互联网比较常见的网页木马事件。现在很多高校校园中流行通过APP插入恶意网页链接，在学生访问后，很有可能就会中病毒。网页木马的被动攻击属于目标不集中的攻击方式，只要访问到该网站的用户，都有可能会感染其所带网页木马种植的恶意软件，最终导致各类电子账号密码被盗，如QQ密码、游戏账号以及银行账户密码等。

三、网页木马防御与检测技术分析

1.大规模网页挂马检测

（1）基于行为特征检测

此种网页木马检测方式通常被用于高交互式客户端蜜罐中，实质上就是针对浏览器存在的漏洞，而在检测环境中安装真是浏览器，以及一些带有漏洞的插件，然后驱动浏览器访问待检测页面，以访问过程中注册表变化、新建进程以及文件系统变化等方面特征来判断此网页是否被挂马。对于已经被感染的计算机，为防止恶意程序继续在本地网络中的传播，高交互式客户端蜜罐一般会设置在虚拟机中，并采取一定的网络隔离措施进行处理。

（2）反病毒引擎扫描

此种网页木马检测方法是使用比较早的一种，主要是通过规则或者特征码匹配来确定检测页面中是否存在挂马情况。此种检测方式的应用，可以更快速的完成检测过程，但是从整体上来看，存在一定的漏报情况。这是因为如果仅仅依靠一种纯静态特征匹配无不能对抗网页木马为了提高隐秘性而采用的混淆面杀机制，这样在检测时就会出现一定的楼爆率。并且，选择此种检测方法时，检测人员习惯只对单面进行扫描，很少对页面动态视图中的内嵌脚本以及内嵌页面进行扫描，进而不能完全有效的检测出挂马页面。

（3）漏洞模拟检测

此种检测方法最为常见的为PHoneyC，主要是在低交互式客户端蜜罐环境中解析页面并用一个独立的脚本引擎执行提取出的脚本，然后利用这个脚本在引擎上下文中模拟出部分已经掌握的漏洞插件，最后结合运行时的参数来确定检测环境中存在的恶意脚本。此种检测方法主要作用于低交互式客户端蜜罐，比高交互式客户端蜜罐效果更好，能够利用更短的时间，准确的模拟出更多漏洞模块，甚至能模拟出同一漏洞的不同版本。但是，此种检测方法也具备一定的局限性，这是因为采用了一个独立的脚本引擎，脚本执行过程中经常会因为缺少页面上下文环境，以及浏览器提供给脚本一些API，而最终导致脚本执行失败，检测运行被迫停止。

2.网页木马防范技术

（1）网站服务器端挂马防范

为提高攻击脚本或者攻击页面的客户端加载量，以及增强隐蔽性，对互联网上大量网页木马挂马进行攻击，必须要做好网站服务器端网页木马挂马的防范管理。因为网页挂马途径众多，如利用内容注入以及利用网站服务器系统漏洞等，其中利用漏洞挂马是最为常见的一种，攻击者在发现系统漏洞后，获取相应权限后，完成网页页面的篡改，针对此种情况网站服务器可以通过及时打系统补丁，或者部署一些入侵检测系统来增强网站的安全性。

（2）脚本重写

利用BrwserShield在处并不判定页面是否含有恶意内容，而是重写页面中的脚本，即用一个自定义脚本库对页面脚本中函数调用、属性获取等操作来进行封装，封装的函数包中含有一些实时的安全检查代码，能够完成对已知漏洞函数的参数超长等症进行网页木马的检测[4]。被重写的页面在客户端被加载时，能够自主执行封装函数包中定期的安全检查，如果发现已知漏洞中相匹配的漏洞，则该段脚本停止运行，进而能够增强网页运行的安全性。

四、结束语

计算机网络技术的快速发展，进一步加强了互联网技术所具有的功能，为人们生活工作带来更大的方便。但是受互联网运行特点影响，在使用过程中经常会出现各类问题，其中网页木马是比较常见的一种，影响比较恶劣。在对网页木马进行处理时，需要明确其攻击与感染的方式，然后从多个方面进行分析，选择合适的方式进行管理，争取不断提高浏览器运行的安全性。

参考文献

[1]黄伟光.网页木马的防御与检测技术研究[D].北京交通大学，2011（32）：48-49.

[2]张慧琳，邹维，韩心慧.网页木马机理与防御技术[J].软件学报，2013（4）：84-85.

[3]李晓光.网页木马检测系统的设计与实现[D].北京邮电大学，2013（54）：15-16.

[4]付鸣.网页木马检测技术的研究[D].沈阳工业大学，2012（32）：65-66.