38网络 - 精彩人生相伴一生!

38网络

当前位置: 主页 > 答库 >

如何挂马网站现原形?

时间:2013-12-03 19:07来源: 作者:
主要靠的是大家举报,这种模式跟瑞星等安全厂商依靠海量用户群收集信息是一样,所不同的在处理信息上,我们全部依靠人工完成。ldquo;黑榜
如何挂马网站现原形?
      工具分析验证法   “黑榜”收集挂马网站,主要靠的是大家举报,这种模式跟瑞星等安全厂商依靠海量用户群收集信息是一样,所不同的在处理信息上,我们全部依靠人工完成。“黑榜”收到大家的挂马网站的举报信息后,会先有一个预判,该网站是不是已经被“黑榜”收录了或者当天已经检测过了。    如果没有被“黑榜”收录或当天没有检测过,就调出挂马网站分析工具进行深入的研究。“黑榜”常用的挂马网站分析工具主要有Malzilla、Redoce、MDecoder和网页木马扫描器。    其中用得较多是Malzilla和网页木马扫描器,Malzilla的功能相对来说比较全,使用起来比较方便:网页木马扫描器简化了技术分析,直观的给出答案。一般来说,验证挂马网站时,先用网页木马扫描器进行初步的判断,再用Malzilla进行深入地分析(有的时候,为了节省时间会省去使用网页木马扫描器这个环节)。    启动网页木马扫描器,在顶部输入框内输入鉴定网站的网址,“扫描层数”选择3,”扫描线程数”选择1 0,再点击“扫描”按钮,软件就会自动对鉴定网站进行分析,给出检测结果。扫描的层数越多会增加扫描时间,扫描线程数越多会占用更多的内存资源。      网页木马扫描器虽然直观,但省去了很多技术分析的细节,所以还需要对网站进行进一步地分析。启动Ma lzilla,输入鉴定网站的网址,点击“获取”,再点击“超链接”标签,可以看到网站所有的超链接,如果看到.exe的文件就要留心一下,下载该文件进行分析,判断是不是病毒。如果看到加密的代码,就对代码进行解密操作,分析是不是跟挂马有关。     
 直接访问验证法    如果每个鉴定网站都走这—套流程,是相当耗时的,所以“      黑榜”有另外一种验证方法,就是在虚拟环境中,访问鉴定网站,看杀毒软件和网页木马拦截工具是否报毒,如果杀毒软件或网页木马拦截工具报毒,就证明该网站被挂马了。    这种验证方法的优点是省时省力,但缺点是可能会漏报,而我们的原则是不放过一个挂马网坫,所以这种验证方法不能取代工具验证,只是一种辅助的验证技巧,在鉴定色情网站时常常被使用(因为色情网站是病毒的重灾区)。

本文地址:http://www.38wl.cn/daku/1553.html
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
网赚平台
推荐内容
美女欣赏