基于链接分析的网页木马追踪技术

摘要

本发明属于计算机安全领域，提出一种基于链接分析的网页木马追踪技术，利用网页中的链接，追查出网页木马传播的病毒、木马程序所在位置。本发明的基本原理是利用正常的网页中引用的链接，如果是当前网页要直接调用、显示的链接内容必定不会是可执行文件，而只有含网页木马的网页要通过下载、激活可执行的病毒、木马程序来传播病毒，这些程序必然是可执行文件，利用这一特征可以分析出病毒、木马程序所在位置和所引用激发的网页。本发明可以用于对网页木马进行追踪、定位，从而解决网络中有害程序的准确定位，为安全部门清除有害程序，追查病毒、木马传播人员提供线索，为上网用户提供安全的网络环境。

说明书

所属技术领域

本发明专利属于计算机安全领域，提出一种基于链接分析的网页木马追踪技术，利用网页中的链接，追查出网页木马传播的病毒、木马程序所在位置，从而解决网络中有害程序的准确定位，为安全部门清除有害程序，追查病毒、木马传播人员提供线索，为上网用户提供安全的网络环境。

背景技术

计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络最主要的安全威胁。在计算机病毒、木马、间谍软件和恶意代码的传播途径中除垃圾邮件外，还有一条重要的途径就是利用构造特殊的网页将病毒、木马传播到访问该网页的用户计算机中。这种网页主要利用操作系统、浏览器、插件等的各种漏洞将可执行代码传播到用户计算机上进行执行，或利用系统中的解析器、控件的执行权限将网页中的恶意代码运行。由于这些特殊网页的配置和编码较为复杂，并且为了能够躲避杀毒软件查杀，大多由人工配置并且采用第三方软件进行加密变形处理，因而成为黑客用来传播木马程序最为有效的方法。

网页木马即利用网页代码来传播的木马，本质在于网页，而非木马本身。这些特殊网页通常是将木马程序的执行代码编码成为网页的组成部分，并配合特殊网页代码来激活木马程序执行，因此在黑客群体和杀毒软件公司、网络安全防御单位将其称为网页木马。

2004年6月末，杀毒软件公司从病毒的发作数量、危害程度综合考虑，总结并发布了2004年十大病毒及病毒发展趋势报告。报告结果显示间谍软件、QQ木马和网络游戏木马等网页木马成为热点。虽然木马类病毒在传播数量上还不及网络蠕虫，但其越来越明显的盗窃特性，会给受害用户造成更大更直接的损失。

2005年8月3日中国专业反病毒厂商之一日月光华软件公司官方网站(中国杀毒网http://www.viruschina.com/)遭到黑客袭击，网站被篡改，并携带病毒，经过反病毒厂商测试该网站共有三个病毒：Exploit.HTML.mht.bb、Backdoor.PcShare.5.r和trojan.PSW.LMIR.U，网民浏览后电脑可能被植入木马，而被黑客控制。这些病毒和木马程序的传播靠的就是网页木马。

在对网页木马的检测中杀毒软件公司积累了大量的经验和特征码，然而系统漏洞、浏览器漏洞和第三方插件的漏洞层出不穷，而且入侵者也在不断地对网页木马进行更新升级，并且采用加密和插入干扰字符的方法来躲避检测。用户要躲避网页木马的攻击，必须不断的安装补丁程序或者升级系统。但是每年每月甚至每一天都会有新的漏洞出现，就在2005年7月，国际报道美国微软称：黑客正在疯狂地试图利用Windows中的两处严重安全缺陷。其中的一个缺陷影响″色彩管理模块″--处理颜色的一个Windows组件；另一个缺陷与微软″Java虚拟机″的JView Profiler部分有关。微软称，该缺陷可以被用于控制用户的个人电脑。在对漏洞信息的获取上用户和黑客是不对等的，黑客会最先知道和利用漏洞，而用户不可能得到及时升级，这些用户的计算机将长期受到黑客的控制。因此切断网络木马的传播途径是防范木马最有效的方法，网页木马检测最主要的是要能检测出隐藏在网页代码中的漏洞利用代码。随着新的漏洞的出现就会有新的网页木马产生，所以检测、查杀网页木马将是个长期、艰巨的任务。

传统的杀毒技术对病毒、木马和恶意网页的检测主要靠特征码匹配检测的方法，这种方法对特征固定不变传播的病毒程序十分有效，但对经过加密、插入干扰处理的网页脚本则没有效果，对于新出的漏洞利用网页脚本和新出的病毒、木马程序的检测就更是无能为力。本发明针对网页木马的构造原理和本质特征来进行检测，能有效地检测网页木马。

发明内容

为了查找出网页木马，净化网络环境，保护网络用户，本发明提出一种基于链接分析的网页木马追踪技术，利用网页中的链接，追查出网页木马传播的病毒、木马程序所在位置，从而解决网络中有害程序的准确定位，为安全部门清除有害程序，追查病毒、木马传播人员提供线索，为上网用户提供安全的网络环境。

本发明的基本原理是利用正常的网页中引用的链接，如果是当前网页要直接调用、显示的链接内容必定不会是可执行文件，而只有含网页木马的网页要通过下载、激活可执行的病毒、木马程序来传播病毒，这些程序必然是可执行文件，利用这一特征可以分析出病毒、木马程序所在位置和所引用激发的网页。

1.本发明提出的基于链接分析的网页木马追踪技术，包括以下几个步骤：

(1)检测网页中的所有链接，查看该链接的引用方式；

(2)是直接引用标签链接，则获取该链接所指文件，判断文件格式，如果是可执行文件则该文件为病毒、木马程序，该网页为含有网页木马的网页，分析结束；

(3)是间接引用标签链接，则判断是否链接分析到设定的范围(链接的深度和广度)，如果达到设定范围，分析结束；如果没有达到分析设定范围，则继续获取新链接所指向的网页重复步骤(1)(2)。

2.直接引用标签链接指在当前页下载到本地引用的链接；间接引用标签链接指需要用户点击或执行某些操作后才会使浏览器去访问的链接，是不会直接在当前页下载到本地引用的链接。

3.直接引用标签链接所采用的标签主要有img、background、iffame、frame、meta、object、script、link、innerHTML、background-image、@import、body onLoad、location、window.open、param等。间接引用标签链接所采用的标签主要有href、from、pluginspage等标签。对链接的分析步骤如下：

(1)读取要处理的网页标签。

(2)从网页首部开始处理，对网页中所含标签链接进行分析，直至处理到网页结束。通过对标签库(包括直接引用标签和间接引用标签)，通过依次匹配获取标签所指链接。

(3)将获取的链接加入下载队列，将链接文件下载，从而便于进一步分析。

对文件格式的判断步骤如下：

(1)读取链接文件。

(2)依次按照可执行文件的文件格式结构，将文件读入内存，查看文件是否满足可执行文件的结构要求。

(3)如果文件头、文件导入表等等符合可执行文件结构要求，则判断为某种可执行文件，该文件也就是要查杀的病毒、木马程序，该网页为含有网页木马的网页。

本发明提出的基于链接分析的网页木马追踪技术，具有以下优点：

(1)本发明提出的基于链接分析的网页木马追踪技术，可以检测出杀毒软件不能检测出的病毒、木马程序。

(2)本发明提出的基于链接分析的网页木马追踪技术，不依赖于网页或病毒、木马的特征码，无需不断升级来对抗新出的网页漏洞和病毒。

(3)本发明提出的基于链接分析的网页木马追踪技术，具有简单、易行的特点，非常适合用于网络安全机构对网络服务器上的网页木马进行检测。

附图说明

图1是基于链接分析的网页木马追踪技术的总体流程图。

图2是网页链接分析流程图。

图3是文件格式分析判断流程图。

具体实施方式

本发明提出的基于链接分析的网页木马追踪技术，其总体流程如图1所示。

(1)检测网页中的所有链接，查看该链接的引用方式。

具体实施方式

本发明提出的基于链接分析的网页木马追踪技术，其总体流程如图1所示。

(1)检测网页中的所有链接，查看该链按的引用方式。

HTML网页是文本格式书写的文件，其要显示图像，引用外部资源则采用标签的方式来进行引用，例如<img src＝”http：//www.test.com/test.jpg”>，则表明在网页中直接引用图像文件http：//www.test.com/test.jpg，并在指定位置显示，这种会直接在当前页下载到本地引用的链接，称之为直接引用标签链接。含直接引用标签链接的网页会在用户浏览该网页时将标签所指定的文件下载到本地的浏览器缓存目录，然后浏览器程序根据网页中的标签描述在浏览器指定位置调用该文件进行显示或调用。含有网页木马的网页要激活某个病毒、木马程序必然要通过这种直接引用标签链接来将指定的病毒、木马程序下载到本地，然后通过浏览器漏洞来执行病毒、木马程序。直接引用标签主要有img、background、iframe、frame、meta、object、script、link、innerHTML、background-image、@import、body onLoad、location、window.open、param等，通过在网页中查找分析这些标签来追踪直接引用标签链接的内容。

在网页中还存在其他超链接，这些链接需要用户点击或执行某些操作后才会使浏览器去访问的链接，是不会直接在当前页下载到本地引用的链接，称为间接引用标签链接。如href、from、pluginspage等标签所指链接。这些链接通常指向某个新的网页，也有的是提供下载某个文件的链接。网页木马通常是隐藏在多层网页链接之中，因而需要继续分析这些间接引用标签链接所指网页。网页链接的分析流程如图2所示。

(2)是直接引用标签链接，则获取该链接所指文件，判断文件格式，如果是可执行文件则该文件为病毒、木马程序，该网页为含有网页木马的网页，分析结束。

直接引用标签例如<img src＝”http：//www.test.com/test.jpg”>，则在浏览该网页时会将链接http：//www.test.com/test.jpg所指文件test.jpg下载到本地引用，如果是正常的网页该文件则是正常的jpg图像文件，如果是网页木马则是一个可执行文件，可执行文件有Dos操作系统中的MZ格式的文件、Windows操作系统的PE格式文件，还有可能是Unix操作系统的可执行文件。含直接引用标签链接的网页会在用户浏览该网页是将标签所指定的文件下载到本地的浏览器缓存目录，将该文件读入系统内存，然后按照各种可执行文件的结构格式对文件进行分析，看是否满足各种可执行文件规定的文件头和起始执行代码等条件，从而判断文件是否是可执行文件。

(3)是间接引用标签链接，则判断是否链接分析到设定的范围。(系统设定的链接搜索的深度和广度，深度指网站网页链接的层次深度，广度指搜索范围局限在某个指定目录或指定网站内进行搜索。)如果达到设定范围，分析结束；如果没有达到分析设定范围，则继续获取新链接所指向的网页重复步骤(1)(2)。