首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. WEB安全
    3. 发新帖
[讨论]钓鱼网站分析
发表于: 2011-9-12 15:22 3274

[讨论]钓鱼网站分析

妖异 活跃值
2011-9-12 15:22
3274
想请教如下问题

1.杀毒软件的分析部门对于钓鱼网站,需要分析出哪些部分才算真正分析完了?
  我能想到的就是钓鱼网站的网址了,还有哪些部分呢?

2.杀毒软件的分析部门对于钓鱼网站分析完之后,需要做哪些处理呢?
   把钓鱼网站的网址加入病毒库,让用户升级,然后杀毒软件在用户电脑上拦截这些钓鱼网站?
   除了这些,还有哪些需要处理么?

3. 钓鱼经常使用的技术都有哪些呢?

4.我觉得如果一个一个的把钓鱼网站加入病毒库,肯定有些来不及,有哪些比较通用的方法可以
  判断一个网站是否是钓鱼网站么?

我刚才在新浪微博上看到了一个钓鱼帐户,他的连接最后是指向这个网站的 hxxp://hghv.eicp.net

这是一个制作很粗糙的钓鱼网站,他的源代码基本和这个博客里发布的代码一样
hxxp://blog.sina.com.cn/s/blog_7412a89b0100unnb.html

我简单看了一下源代码,不知道从哪些地方的代码是一个钓鱼页面特有的代码,
有大牛可以指教一下吗?

<!-- saved from url=(0029)http://www.en-lian.com/wy163/ -->
<!-- saved from url=(0032)http://nbirjdte.pp.rerky.cn/163/ --><HTML><HEAD><TITLE>新浪微博 — 幸运大抽奖活动!感受全新互联网世界,感受新的生活!</TITLE>
<SCRIPT>alert('系统提示:此消息由新浪微博系统发出,不需要任何回复,请点击(确定)查看您的获奖通知');</SCRIPT>
<!-- saved from url=(0046)http://ggiwng.tofor.gaorb.cn/163wy/login/3.htm --><!-- saved from url=(0034)http://9256976.k141.opensrs.cn/mm/ --><!--#include file="articleconn.asp"--><%
Response.Buffer = True
Response.ExpiresAbsolute = Now() - 1
Response.Expires = 0
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "No-Cache"

   set rs=server.createobject("adodb.recordset")
   sql="select * from Home"
   rs.open sql,conn,1,1
   dim name
   name=rs("name")
   if rs("cj")<>True then
     response.redirect "Userlogin.asp"
   end if

rs.close
set rs=nothing
%>


主要的疑问在于前面那些“<!-- saved from url” 这些有用么?哪些网址需要处理么?
还有后面那段代码,虽然能看懂,但不知道他在这里有什么用
请各位指教一下

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
古河
雪    币: 822
活跃值: (380)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
私信
2
随便说几个可以挖掘的方向:

1.同主机上有些其他什么站点? 里面是不是也有钓鱼网站的存在?
2.能不能查到域名的注册人邮箱?相同邮箱还注册了其他什么域名?
3.能不能从这个模板挖掘出其他的同类钓鱼网站 (找到最合适的特征码)?
   对于楼主这个例子,比如把 "新浪微博 — 幸运大抽奖活动!感受全新互联网世界,感受新的生活" 放到度娘里一搜,就有不少相同的网站出来。。。
4.入侵钓鱼网站,给坏人种个马啥的

总之从已知的模板里获得尽量多的信息,从而找到/免疫更多未知的钓鱼网站,尽量可以自动化完成这些任务
2011-9-12 19:38
0
妖异
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢 古河 大牛的指点,有了不少思路

所以我应该写一个爬虫,放在服务器上,每天抓取网页,放入数据库

然后剩下的问题就是设计、制作特征码了

最后,杀毒软件把特征码放入服务器(云查杀)或者自动升级特征码(本地查杀)

这就是全部过程了吧

现在关键的问题是特征码的设计和制作了

关于特征码设计,大家有什么比较好的思路么?

这是我想的

1. 整个Html页面抓CRC或者MD5 -- 感觉这个比较慢,通用性不强,应该有杀毒软件使用或者保留着这种方式

2. 只抓取某个Html Tag内部的内容的CRC或者MD5,比如<script> 内部的代码

暂时只能向这么多了。。。

大家还有什么更好的思路么?小弟诚心请教
2011-9-13 11:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//