Ourren

关注技术,记录生活.

恶意网页分析实战

| 留言

1、概述        恶意网页分析可以针对恶意网页实现快速分析,找出被嵌入的恶意代码文件和挂马所采用的漏洞,而且还可以根据木马回连地址找到控制端IP,可以说是一门很实用的技术。         由于恶意网页都是脚本层面的编程,一般为了绕过杀毒软件查杀不得不做一些变形和加密,但是这些加密方式基本上都可以解密。因如果要熟练分析恶意网页代码,需要一些前提知识: 1) JavaScript一些常见的函数使用,例如:replaceevaldocument.writeString.fromCharCode等。 2) 漏洞利用方面技术。常规网页挂马一般利用的是flashpdfIE等相关漏洞,而这类漏洞利用一般都是采用heap spray技术,如果不追究其漏洞触发原因的话,基本就只会涉及分析shellcode代码。        常用工具: MDecoder0.67FreShow1.5ProcessMonitorProcessExplorerapateDNSWiresharkWindows文件监视器、ollydbgIDA等。 学习资料:恶意网页分析入门资料可以参考下面网址中的内容进行学习,如果要深入的话就多动手分析和研究下漏洞利用技术。 入门学习资料:http://bbs.ikaka.com/showtopic-8629150.aspx 样本方面,我推荐如下一些比较好的网址: 1)  瑞星卡卡安全论坛每日网马播报 http://bbs.ikaka.com/showforum-20039.aspx   2)瑞星卡卡安全论坛恶意网站交流(主要是黑名单) http://bbs.ikaka.com/showforum-20035.aspx   3) 恶意网址播报(可以有时候参考下博主的博客) http://www.sacour.cn/m/ 4) 网站挂马分析Mdecoder(目前已停止更新) http://log.mtian.net 5)挂马分析技术交流专区    http://bbs.janmeng.com/forum-332-1.html 6)  卡饭论坛病毒样本区 http://bbs.kafan.cn/forum-31-1.html 2、网页分析

3、shellcode分析

4、木马分析

5、总结

详细内容见文档,可下载