公开(公告)号：CN101673326B

公开(公告)日：2012-04-18

申请号：CN200810222212.9

申请日：2008-09-11

Applicant: 北京理工大学

Inventor： 陶然 ,  李志勇 ,  蔡镇河 ,  王越 ,  杜华 ,  张昊

IPC: G06F21/00 ,  G06F17/30

Abstract: 本发明属于计算机安全领域，涉及基于程序执行特征的网页木马检测方法。本发明利用网络爬虫抓取网页源码，然后经过多层解码后得到可识别的脚本程序，在保留脚本程序的同时对其进行反汇编处理得到汇编源码，再判断这些源码是否存在大量无效指令填充、调用系统级函数、明显的URL链接，最后通过汇编码来深层次的检测网页中是否含有木马。由于现有挂马网站相当一部分都植入了ShellCode，要使网页中的ShellCode能在本地机器中执行，需利用系统漏洞实现缓冲区溢出，使程序跳转到ShellCode代码段上。因此只要分析执行ShellCode的条件，并根据其执行特征来分析源码，就能对待检测网页是否是网页木马做出快速检测。

公开(公告)号：CN101673326A

公开(公告)日：2010-03-17

申请号：CN200810222212.9

申请日：2008-09-11

Applicant: 北京理工大学

Inventor： 陶然 ,  李志勇 ,  蔡镇河 ,  王越 ,  杜华 ,  张昊

IPC: G06F21/00 ,  G06F17/30

Abstract: 本发明属于计算机安全领域，涉及基于程序执行特征的网页木马检测方法。本发明利用网络爬虫抓取网页源码，然后经过多层解码后得到可识别的脚本程序，在保留脚本程序的同时对其进行反汇编处理得到汇编源码，再判断这些源码是否存在大量无效指令填充、调用系统级函数、明显的URL链接，最后通过汇编码来深层次的检测网页中是否含有木马。由于现有挂马网站相当一部分都植入了ShellCode，要使网页中的ShellCode能在本地机器中执行，需利用系统漏洞实现缓冲区溢出，使程序跳转到ShellCode代码段上。因此只要分析执行ShellCode的条件，并根据其执行特征来分析源码，就能对待检测网页是否是网页木马做出快速检测。