——网马下载拦截与恶意网址获取

《——网马下载拦截与恶意网址获取》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、——网马下载拦截与恶意网址获取智能网页脚本监控技术目录传统的解决方案原理和优缺点我们的思考智能脚本监控技术介绍智能脚本监控技术的优缺点5234智能脚本监控技术的应用6网马入侵拦截问题分析1我们的问题和目标网马泛滥解决问题的目标95%以上的用户机器感染病毒是通过网马感染的游戏、色情、小说、热点论坛是被挂马的重灾区不仅只有浏览网站会中毒。1、阻止网马感染用户机器，保证用户安全2、获取网马传播相关信息3、根据信息快速获取木马样本，及时处理网马入侵问题分析网马入侵途径分析网马和网页脚本的关系挂马脚本的特点网马入侵途径分析通过脚

2、本构造溢出攻击代码，利用溢出代码下载和运行网马通过脚本调用组件漏洞，下载和运行网马直接在网页中插入带有漏洞的媒体文件如WMF、CUR、SWF文件，利用媒体文件的漏洞下载和执行木马。网马入侵途径网马和网页脚本的关系利用网页脚本进行木马下载和执行是目前网马的主要感染方式，超过90%网马是通过网页脚本实现的挂马页面的特点直接挂马、框架挂马、ARP欺骗挂马挂马页面主要网马生成器自动生成挂马页面往往针对多个漏洞，采用智能挂马方式页面加密和脚本加密是网马逃避特征码查杀的主要方式挂马页面特点加密前的网页脚本加密后的网页脚本传统的网马

3、传播阻止方式恶意网址拦截网页脚本杀毒文件监控运行前拦截运行时拦截网页脚本监控主动防御问题思考解决脚本问题是关键来自于主动防御的启发1、90%网马感染用户机器利用到了脚本2、处理网马脚本可以解决网马问题3、脚本的加密、变形导致问题变得复杂4、虚拟执行判定？主动防御的基础是拦截程序行为通过行为特征来判定恶意代码是主动防御的基本思想如果能够拦截脚本行为……..智能脚本监控技术介绍Windows脚本运行模型脚本监控系统架构-溢出攻击防御-恶意行为判定-智能启发监控扫描智能脚本监控原理网马脚本判定方法Windows脚本执行架构脚

4、本宿主脚本引擎1、创建脚本引擎2、提供脚本引擎运行环境3、传送脚本给脚本引擎执行4、接受和响应脚本引擎产生的事件和系统调用1、解释执行脚本2、通知脚本宿主脚本执行状态3、和脚本宿主通讯获取对象4、通过从脚本宿主获取的对象完成系统相关功能调用脚本系统监控模型脚本宿主脚本代理引擎脚本引擎脚本代理引擎拦截脚本宿主与脚本引擎的通讯和交互，通过脚本代理我们可以获取脚本引擎对系统函数的调用和执行结果回调。行为分析与判定事件、系统调用脚本函数拦截模型创建脚本引擎获取脚本引擎内部函数Com对象替换为代理提供的Com对象脚本代理进行函数

5、监控挂接示意图代理提供的COM对象脚本引擎原始的COM对象执行前后行为检查挂接后的函数执行流程脚本监控主要判定技术溢出攻击防御技术恶意行为监控技术智能启发监控扫描技术脚本监控主要判定技术溢出攻击防御技术拦截脚本执行函数的执行参数，进行溢出攻击代码检查，如果发现溢出代码，则阻止函数继续执行。因为溢出攻击的代码主要是利用异常的函数执行参数来导致程序溢出，执行恶意代码，所以对于溢出只要能够检查函数执行参数从技术上讲非常容易。溢出攻击防御原理优点：缺点：准确，能够在漏洞执行前发现已知的所有的溢出攻击对系统速度影响比较大恶意行为

6、监控拦截脚本执行时调用组件对象的功能，在该功能执行前检查已经存在的行为序列，根据预设的专家经验行为规则判脚本行为是否会对系统带来危害，如果判定为恶意则阻止执行，如果正常则继续执行脚本。监控原理优点：缺点：不依赖具体的特征串，无法采用传统的代码变形、加密方式躲过检测、速度快对系统几乎没有影响。可能存在误报智能启发监控扫描90%以上的网马脚本都带有加密和变形的特点，单纯的特征码无法进行处理，而脚本执行时脚本引擎会对这些加密和变形的内容进行还原，而不同的漏洞的都有自己的广谱特征，利用广谱特征对解密后的脚本代码进行查杀可以很好

7、的阻止恶意代码的执行和传播。检查原理优点：缺点：准确，查杀率高。对系统速度影响较大智能网页脚本监控优缺点基于行为监控,可以对付变形、加密网马不依赖于网址和脚本特征支持所有基于IE内核的浏览器脚本执行时会增加9%左右的额外开销对文件型挂马无法处理优点缺点智能脚本监控技术的应用阻止网马下载网络威胁探针应用于云安全应用于其他系统阻止网马脚本运行，将未知网马威胁阻止在用户系统之外。在用户允许情况下，捕获未知的恶意网址。利用获取的网址建立自动获取分析木马样本系统将捕获的网址应用于防毒墙，防火墙Q&A谢谢大家!THANKYOU!