文档介绍:中国科技论文在线
网页后门木马扫描系统的设计和实现
易方昶,王艳清
北京化工大学信息科学与技术学院北京 100029
E-mail:imyfc008@
摘要:由于计算机系统和信息网络系统本身固有的不健全性,网站被挂马,被植入后门,
给网站管理员和浏览者带来了不必要的麻烦。基于这些危害,着眼于研究和设计一个基于网
页后门木马的扫描系统。与传统的木马扫描系统相比,该系统可动态编辑特征码库和定制要
扫描的文件类型,并实现文件的备份还原。测试结果证明了该方法的可行性。
关键词:网页后门;BM 算法;特征码
中图分类号:TP311
1 简介
网页后门木马其实就是一段网页代码,主要以 asp、jsp、php 代码为主。由于这些代码
都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获
得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服
务器的一条通道,比一般的入侵更具有隐蔽性。网页挂马就是攻击者通过在正常网站的页面
中插入一段代码。浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的
服务器端程序,进而控制浏览者的主机。
2 网页后门木马的类型
框架嵌入式网页挂马
网页木马被攻击者利用 iframe 语句,加载到任意网页中都可执行的挂马形式,是最早
也是最有效的的一种网络挂马技术[1]。通常的挂马代码“<iframe src='实际木马地址' width=0
height=0></iframe>”,用户访问该页面时会自动跳转到实际木马页面运行木马程序。
js 调用型网页挂马
此类网页挂马是一种利用 javascript 脚本文件调用的原理进行的网页木马挂马技术,比
如将代码“("<iframe width='0' height='0' src='实际木马地址'></iframe>");”保存
为 ,则 js 调用型网页挂马代码为“<script language=javascript src=></script>”,用户访
问该页面时会调用 运行远程木马。
图片伪装型网页挂马
攻击者利用图片作为转移网页访问者视线的一种方式,将代码插入目标网站内页或另存
为 HTML 再上传到目标网站,当用户访问该网页时,就会中招[2]。比如“<iframe. src=" http://
特制的 js " height=0 width=0></iframe><img src=" "
></center>”。
以上只是列出了三种最常见的网页挂马方式[3],但随着时间的推移,这些挂马方式将会
演变成各种各样的形态,旨在盗取不同的机密或链接恶意木马页面。因此找到这些木马的特
征,准确查找木马在网页文件中的位置,是查杀网页后门木马的关键[4]。
-1-
中国科技论文在线
3 网页特征码定位算法
系统用到的网页特征码定位算法为 BM 算法[5],BM 算法是 Boyer-Moore 算法的简称,
由 Boyer 和 Moore 提出,被认为是一般的应用中最有效的字符串匹配算法。BM 算