【摘要】 本发明属于计算机安全领域,涉及基于程序执行特征的网页木马检测方法。 本发明利用网络爬虫抓取网页源码,然后经过多层解码后得到可识别的脚本程 序,在保留脚本程序的同时对其进行反汇编处理得到汇编源码,再判断这些源 码是否存在大量无效指令填充、调用系统级函数、明显的URL链接,最后通过 汇编码来深层次的检测网页中是否含有木马。由于现有挂马网站相当一部分都 植入了ShellCode,要使网页中的ShellCode能在本地机器中执行,需利用系统 漏洞实现缓冲区溢出,使程序跳转到ShellCode代码段上。因此只要分析执行 ShellCode的条件,并根据其执行特征来分析源码,就能对待检测网页是否是网 页木马做出快速检测。 【专利类型】发明申请 【申请人】北京理工大学 【申请人类型】学校 【申请人地址】100081北京市海淀区中关村南大街5号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810222212.9 【申请日】2008-09-11 【申请年份】2008 【公开公告号】CN101673326A 【公开公告日】2010-03-17 【公开公告年份】2010 【授权公告号】CN101673326B 【授权公告日】2012-04-18 【授权公告年份】2012.0 【IPC分类号】G06F21/00; G06F17/30; G06F21/56 【发明人】陶然; 李志勇; 蔡镇河; 王越; 杜华; 张昊 【主权项内容】1.基于程序执行特征的网页木马检测方法,其特征在于具体步骤包括: a.使用网络爬虫软件获取被检测网页的HTML源代码; b.运行脚本解释模块对经步骤a获取得到的网页源代码进行多层解码处理, 从而得到可识别的脚本源码; c.对经步骤b得到的脚本源码进行字节unicode解码,如果解码结果中出 现明显的系统调用和URL下载连接,则说明该脚本要完成木马的自动下载,告 警值加1,然后进行步骤d;若未出现明显的系统调用和URL下载连接,则直接 进行步骤d; d.对经步骤b得到的可识别的脚本源码进行反汇编操作,然后判断该汇编 代码是否是可执行的,如果是,则说明这一脚本含有Shellcode代码,告警值 加1,然后进行步骤e;若该汇编代码是不可执行的,则直接进行步骤e; e.对脚本源码进行程序流程分析,如果发现有明显的对内存写入大量数据 的操作,那么就说明这个脚本源码要实现某种溢出操作,告警值加1; f.如果告警值为累计为3的话就说明该网页是一个网页木马,如果告警值 累计1或是2的话,说明该网页是个疑似网页木马,如果告警值累计为0的话 就说明该网页是个正常网页。 【当前权利人】北京理工大学 【当前专利权人地址】北京市海淀区中关村南大街5号 【统一社会信用代码】12100000400009127B 【被引证次数】43 【被他引次数】43.0 【家族引证次数】4.0 【家族被引证次数】43
