[求助]网页内容恶意代码的分析，大家看看我这个方法可行不？？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]网页内容恶意代码的分析，大家看看我这个方法可行不？？？

发表于: 2008-3-17 10:44 10278

[求助]网页内容恶意代码的分析，大家看看我这个方法可行不？？？

救世猪

2008-3-17 10:44

10278

我现在有网页的源码，我要去分析网页，看其中是否有恶意代码。

本来想从内容上去匹配，但仔细一想，太麻烦，而且命中率估计也很低。不知道那些杀软，以及Google是如何判断的？
所以，我现在想从行为上分析恶意代码，先从网页中找出<script>和</script>中间的内容，然后在程序中去调用WScript.exe程序，让它去分析这段代码，然后再看这段代码所做的操作，根据行为来判断是否是恶意的。

这种方法可行吗？？？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (19)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼放Visual Studio 用 F11 单步跟踪吧. 2008-3-17 11:24 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 3 楼 ? 楼上请详解一下我现在的目的是要在程序中实现主要任务就是发现网页中的恶意代码，不知道大家有什么比较好的方法不？ 2008-3-17 13:12 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 4 楼 2008-3-17 20:28 0
ma自由人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ma自由人 5 楼好想法如果你成功我将受益 2008-3-18 16:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 6 楼最近想不明白为什么有的人不去补习相关知识就直接去做自己完全不懂的事 2008-3-18 17:54 0
emerbor 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	emerbor 7 楼要慢慢探索。。。。 2008-3-18 21:10 0
scz 雪币： 4593 活跃值： (3572) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 8 楼 <script>本身也可以被编码掉，你在网页源码中找不到<script>时打算怎么办，并且这种挂马还不少。一般这类恶意代码会调ActiveX，你还不如从COM这边入手，ActiveX被激活的路径有限。当然，对于纯粹的脚本，那另说了。 2008-3-19 09:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼消灭执行权限 2008-3-19 09:58 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 10 楼恩，谢谢大家了主要是我以前从来没接触过相应的东西，毕业设计是这样的题目，所以我想边学边做，但限于自己的知识面太狭窄，有一点想法也不知道可行不，我在网上找相应的资料也很少，我根本没找到。恩，我在查下com的资料（目前对此一点也不懂），看看如何能Hook对COM的调用不 2008-3-19 10:52 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 11 楼对了，突然有另一个问题就是wscript.exe对脚本文件执行的时候的过程是怎么样的？看看能不能在中间拦截一些东西…… 2008-3-19 10:56 0
scz 雪币： 4593 活跃值： (3572) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 12 楼这就是我前面说过的啊，你去看COM的东西，最好是用Plain C写一个ActiveX出来，不要用C++，更不要用MFC、ATL框架代码，这样你会对ActiveX的框架有一种直观的感觉。然后用cdb之类的工具调试一个具体的从HTML中调用ActiveX的例子，接下来，你就不必再上网问了，自己就开始了学习中的正反馈过程。你如果实在找不到入门的，可以从这里看起 [ 2] The COM Programmer's Cookbook - Crispin Goswell [1995-09-13] http://msdn2.microsoft.com/en-us/library/ms809982.aspx Don Box的<<Essential COM>>嘛，我个人感觉不是本入门的好书，盛名之下其实难副，更像是COM专家在梦呓，就是说，他说的都没错(跟大白菜一样)，但前提是你已经能看懂了，可你都能看懂的时候，再看他这本书，又没有更多意义了。当成回笼觉式的速温手册好了。潘爱民的<<COM原理与应用>>就算了，忽略不计。 2008-3-20 15:49 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 13 楼用wscript执行的话，你就直接中毒了 2008-3-21 00:35 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 14 楼恩，谢谢小四我现在正在看COM，看的vckbase上面的杨老师写的《COM组件设计与应用》现在有一个大概的认识了…… 谢谢 2008-3-21 10:10 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 15 楼 "看看如何能Hook对COM的调用不" ，这个太强悍了吧，你做的是网页内容分析，难道HOOK是全能武器。还是从页面内容着手吧。 2008-3-21 11:45 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 16 楼从页面着手没有好的方法呀不知道做才好…… 2008-3-21 14:05 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 17 楼 hook 掉浏览器进程的loadlibraryA/W GetProcAddressA/W 分析调用者的位置如果调用指令来自堆栈或heap,就判定为非法. 只容许对来自模块的调用 ------------------------------- 想当然的,没有测试过哈,胡言乱语ing.... 2008-3-22 15:51 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 18 楼引用的: WESEC 365门神使用页面分析、访问监控、恶意页面库技术，对浏览页面的链接进行识别，标识出恶意链接，对访问的网页URL进行识别，阻拦恶意页面的访问。从而消除来自网站浏览的安全威胁。来自这里的介绍: http://www.scanw.com/blog/archives/category/aboutwesec 2008-3-23 09:58 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 19 楼谢谢了请你详解一下原因，以及如何断定对LoadLibrary的调用是来自堆栈或模块呢？ 2008-3-23 10:57 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 20 楼思路的前提是恶意代码通过调用loadlibrary来得到需要的api地址，而且恶意代码在堆栈或heap中至于断定 LoadLibraryW proc call myLoadLibraryW ;inline hook .. ... LoadLibraryW endp myLoadLibraryW proc mov eax,dword ptr [esp+4] ;得到调用LoadLibrary的地址 ;在这里判断eax是否是模块中的代码就可以了 ret 具体的判断，我的思路是可以往上遍历内存，找PE头标志找到后连moduleName都可以搞到了，嘿嘿或尝试写入，因为一般代码段都是禁止写入的配合SEH就可以完成。 2008-3-23 12:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

救世猪

发帖

267

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼放Visual Studio 用 F11 单步跟踪吧. 2008-3-17 11:24 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 3 楼 ? 楼上请详解一下我现在的目的是要在程序中实现主要任务就是发现网页中的恶意代码，不知道大家有什么比较好的方法不？ 2008-3-17 13:12 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 4 楼 2008-3-17 20:28 0
ma自由人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ma自由人 5 楼好想法如果你成功我将受益 2008-3-18 16:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 6 楼最近想不明白为什么有的人不去补习相关知识就直接去做自己完全不懂的事 2008-3-18 17:54 0
emerbor 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	emerbor 7 楼要慢慢探索。。。。 2008-3-18 21:10 0
scz 雪币： 4593 活跃值： (3572) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 8 楼 <script>本身也可以被编码掉，你在网页源码中找不到<script>时打算怎么办，并且这种挂马还不少。一般这类恶意代码会调ActiveX，你还不如从COM这边入手，ActiveX被激活的路径有限。当然，对于纯粹的脚本，那另说了。 2008-3-19 09:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼消灭执行权限 2008-3-19 09:58 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 10 楼恩，谢谢大家了主要是我以前从来没接触过相应的东西，毕业设计是这样的题目，所以我想边学边做，但限于自己的知识面太狭窄，有一点想法也不知道可行不，我在网上找相应的资料也很少，我根本没找到。恩，我在查下com的资料（目前对此一点也不懂），看看如何能Hook对COM的调用不 2008-3-19 10:52 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 11 楼对了，突然有另一个问题就是wscript.exe对脚本文件执行的时候的过程是怎么样的？看看能不能在中间拦截一些东西…… 2008-3-19 10:56 0
scz 雪币： 4593 活跃值： (3572) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 12 楼这就是我前面说过的啊，你去看COM的东西，最好是用Plain C写一个ActiveX出来，不要用C++，更不要用MFC、ATL框架代码，这样你会对ActiveX的框架有一种直观的感觉。然后用cdb之类的工具调试一个具体的从HTML中调用ActiveX的例子，接下来，你就不必再上网问了，自己就开始了学习中的正反馈过程。你如果实在找不到入门的，可以从这里看起 [ 2] The COM Programmer's Cookbook - Crispin Goswell [1995-09-13] http://msdn2.microsoft.com/en-us/library/ms809982.aspx Don Box的<<Essential COM>>嘛，我个人感觉不是本入门的好书，盛名之下其实难副，更像是COM专家在梦呓，就是说，他说的都没错(跟大白菜一样)，但前提是你已经能看懂了，可你都能看懂的时候，再看他这本书，又没有更多意义了。当成回笼觉式的速温手册好了。潘爱民的<<COM原理与应用>>就算了，忽略不计。 2008-3-20 15:49 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 13 楼用wscript执行的话，你就直接中毒了 2008-3-21 00:35 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 14 楼恩，谢谢小四我现在正在看COM，看的vckbase上面的杨老师写的《COM组件设计与应用》现在有一个大概的认识了…… 谢谢 2008-3-21 10:10 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 15 楼 "看看如何能Hook对COM的调用不" ，这个太强悍了吧，你做的是网页内容分析，难道HOOK是全能武器。还是从页面内容着手吧。 2008-3-21 11:45 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 16 楼从页面着手没有好的方法呀不知道做才好…… 2008-3-21 14:05 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 17 楼 hook 掉浏览器进程的loadlibraryA/W GetProcAddressA/W 分析调用者的位置如果调用指令来自堆栈或heap,就判定为非法. 只容许对来自模块的调用 ------------------------------- 想当然的,没有测试过哈,胡言乱语ing.... 2008-3-22 15:51 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 18 楼引用的: WESEC 365门神使用页面分析、访问监控、恶意页面库技术，对浏览页面的链接进行识别，标识出恶意链接，对访问的网页URL进行识别，阻拦恶意页面的访问。从而消除来自网站浏览的安全威胁。来自这里的介绍: http://www.scanw.com/blog/archives/category/aboutwesec 2008-3-23 09:58 0
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 267 粉丝 0 关注私信	救世猪 1 19 楼谢谢了请你详解一下原因，以及如何断定对LoadLibrary的调用是来自堆栈或模块呢？ 2008-3-23 10:57 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 20 楼思路的前提是恶意代码通过调用loadlibrary来得到需要的api地址，而且恶意代码在堆栈或heap中至于断定 LoadLibraryW proc call myLoadLibraryW ;inline hook .. ... LoadLibraryW endp myLoadLibraryW proc mov eax,dword ptr [esp+4] ;得到调用LoadLibrary的地址 ;在这里判断eax是否是模块中的代码就可以了 ret 具体的判断，我的思路是可以往上遍历内存，找PE头标志找到后连moduleName都可以搞到了，嘿嘿或尝试写入，因为一般代码段都是禁止写入的配合SEH就可以完成。 2008-3-23 12:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复