vbscript函数分析黑客网页挂马如何自动化的小窍门
现在网上的网页木马多是几套固定的代码,变化并不多,vbscript函数分析黑客网页挂马如何自动化的小窍门包括脚本代码的加密方式,几乎也都是解释型的加密,由于黑客都是进行的流程化挂马,老外对于自动化分析网页木马也已经有了丰厚的。国内我所见过的自动化网马分析系统有知道创宇、360安全卫士和安恒等,delphi教程 delphi是什么。其他包括国内的各大杀毒安全公司,应该也都有一套自己的网马分析系统。
vbscript函数自动化分析网页木马需要一个好的页面分析系统,分离页面中的各种静态元素资源和脚本内容,同时需要一个模拟的脚本解释引擎和沙盒等。我这里仅说下我的两个小思:
1.纯静态分析
只需要取到页面的静态内容,仅仅需要使用正则匹配分离出HTML内容和脚本内容,直接分析HTML内容,剩下的将分离出来的脚本内容丢给脚本解释引擎执行,当然这里有些小瓶颈,但我们可以脚本解释引擎,对某些网马所使用的关键函数进行处理,不难分离OBJECT和SHELLCODE之类的关键内容。javascript的解释引擎我们可以选择蜘蛛猴,当然这个东西有个致命的缺点,如果黑客使用VBSCRIPT或者封装代码进入FLASH等没有静态代码内容的文件执行脚本的话,很难再进行自动分析。
2.沙盒分析
鉴于第一种方式的种种缺点,我们仍然可以使用沙盒方式分析,直接把网马丢到真实的浏览器中跑,但之前我们需要使用第一个老思先使用解决到几个关键的脚本函数,类似下脚本断点吧,输出关键内容或针对脚本的行为进行分析。IE的话我们可以使用COMHOOK,而FF甚至不需要大力气我们可以直接使用Greaseamonkey插件等。
以上仅仅是隐晦的说了两个小思,没有涉及实际内容。我也是在慢慢摸索,“黑客”的挂马方式肯定是会越来越高级,我更倾向于沙盒分析。
posted on 2012-04-12 20:37 vbscript教程 vbscript.dll 阅读(289) 评论(0) 编辑 收藏 举报