《网马下载拦截与恶意网址获取ppt课件.ppt》由会员分享,可在线阅读,更多相关《网马下载拦截与恶意网址获取ppt课件.ppt(23页珍藏版)》请在三一文库上搜索。
1、网马下载拦截与恶意网址获取,智能网页脚本监控技术,目录,我们的问题和目标,网马入侵问题分析,网马入侵途径分析,网马和网页脚本的关系,挂马脚本的 特点,网马入侵途径分析,通过脚本构造溢出攻击代码,利用溢出代码下载和运行网马,通过脚本调用组件漏洞,下载和运行网马,直接在网页中插入带有漏洞的媒体文件如WMF 、CUR、SWF文件,利用媒体文件的漏洞下载和执行木马。,网马入侵 途径,网马和网页脚本的关系,利用网页脚本进行木马下载和执行是目前 网马的主要感染方式,超过90%网马是通 过网页脚本实现的,挂马页面的特点,加密前的网页脚本,加密后的网页脚本,传统的网马传播阻止方式,问题思考,智能脚本监控技术介
2、绍,Windows脚本运行模型 脚本监控系统架构,-溢出攻击防御 -恶意行为判定 -智能启发监控扫描,智能脚本监控原理,网马脚本判定方法,Windows脚本执行架构,脚本系统监控模型,脚本宿主,脚本代理引擎,脚本引擎,脚本代理引擎拦截脚本宿主与脚本引擎的通讯和交互,通过脚本代理我们可以获取脚本引擎对系统函数的调用和执行结果回调。,行为分析与判定,事件、系统调用,脚本函数拦截模型,创建脚本引擎,获取脚本引擎内部函数Com对象,替换为代理提供的Com对象,脚本代理进行函数监控挂接示意图,代理提供的COM对象,脚本引擎,原始的COM对象,执行前后行为检查,挂接后的函数执行流程,脚本监控主要判定技术,
3、脚本监控主要判定技术,溢出攻击防御技术,拦截脚本执行函数的执行参数,进行溢出攻击代码检查,如果发现溢出代码,则阻止函数继续执行。因为溢出攻击的代码主要是利用异常的函数执行参数来导致程序溢出,执行恶意代码,所以对于溢出只要能够检查函数执行参数从技术上讲非常容易。,溢出攻击防御原理,恶意行为监控,拦截脚本执行时调用组件对象的功能,在该功能执行前检查已经存在的行为序列,根据预设的专家经验行为规则判脚本行为是否会对系统带来危害,如果判定为恶意则阻止执行,如果正常则继续执行脚本。,监控原理,智能启发监控扫描,90%以上的网马脚本都带有加密和变形的特点,单纯的特征码无法进行处理,而脚本执行时脚本引擎会对这些加密和变形的内容进行还原,而不同的漏洞的都有自己的广谱特征,利用广谱特征对解密后的脚本代码进行查杀可以很好的阻止恶意代码的执行和传播。,检查原理,智能网页脚本监控优缺点,基于行为监控,可以对付变形、加密网马 不依赖于网址和脚本特征 支持所有基于IE内核的浏览器,脚本执行时会增加9%左右的额外开销 对文件型挂马无法处理,优点,缺点,智能脚本监控技术的应用,Q&A 谢谢大家! THANK YOU!,