--网马下载拦截与恶意网址获取课件.ppt

加密前的网页脚本 加密后的网页脚本 传统的网马传播阻止方式 恶意网址拦截 网页脚本杀毒 文件监控 运行前拦截 运行时拦截 网页脚本监控 主动防御 问题思考 解决脚本问题是关键 来自于主动防御的启发 1、90%网马感染用户机器利用到了脚本 2、处理网马脚本可以解决网马问题 3、脚本的加密、变形导致问题变得复杂 4、虚拟执行判定？ 主动防御的基础是拦截程序行为 通过行为特征来判定恶意代码是主动防御的基本思想 如果能够拦截脚本行为…….. 智能脚本监控技术介绍 Windows脚本运行模型 脚本监控系统架构 -溢出攻击防御 -恶意行为判定 -智能启发监控扫描 智能脚本监控原理 网马脚本判定方法 Windows脚本执行架构 脚本宿主 脚本引擎 1、创建脚本引擎 2、提供脚本引擎运行环境 3、传送脚本给脚本引擎执行 4、接受和响应脚本引擎产生的事件和系统调用 1、解释执行脚本 2、通知脚本宿主脚本执行状态 3、和脚本宿主通讯获取对象 4、通过从脚本宿主获取的对象完成系统相关功能调用 脚本系统监控模型 脚本宿主 脚本代理引擎 脚本引擎 脚本代理引擎拦截脚本宿主与脚本引擎的通讯和交互，通过脚本代理我们可以获取脚本引擎对系统函数的调用和执行结果回调。 行为分析与判定 事件、系统调用 脚本函数拦截模型 创建脚本引擎 获取脚本引擎内部函数Com对象 替换为代理提供的Com对象 脚本代理进行函数监控挂接示意图 代理提供的COM对象 脚本引擎 原始的COM对象 执行前后行为检查 挂接后的函数执行流程 脚本监控主要判定技术 溢出攻击防御技术 恶意行为监控技术 智能启发监控扫描技术 脚本监控主要判定技术 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ——网马下载拦截与恶意网址获取 目录 传统的解决方案原理和优缺点 我们的思考 智能脚本监控技术介绍 智能脚本监控技术的优缺点 5 2 3 4 智能脚本监控技术的应用 6 网马入侵拦截问题分析 1 我们的问题和目标 网马泛滥 解决问题的目标 95%以上的用户机器感染病毒是通过网马感染的游戏、色情、小说、 热点论坛是被挂马的重灾区不仅只有浏览网站会中毒。 1、阻止网马感染用户机器，保证用户安全 2、获取网马传播相关信息 3、根据信息快速获取木马样本，及时处理 网马入侵问题分析 网马入侵途径分析 网马和网页脚本的关系 挂马脚本的 特点 网马入侵途径分析 通过脚本构造溢出攻击代码，利用溢出代码下载和运行网马 通过脚本调用组件漏洞，下载和运行网马 直接在网页中插入带有漏洞的媒体文件如WMF 、CUR、SWF文件，利用媒体文件的漏洞下载和执行木马。 网马和网页脚本的关系 挂马页面的特点 直接挂马、框架挂马、ARP欺骗挂马 挂马页面主要网马生成器自动生成 挂马页面往往针对多个漏洞，采用智能挂马方式 页面加密和脚本加密是网马逃避特征码查杀的主要方式 挂马页面 特点 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...