【摘要】：網(wǎng)頁木馬會利用操作系統(tǒng)、瀏覽器和相關(guān)的應(yīng)用程序中存在的漏洞來進(jìn)行傳播和破壞。為了躲避檢測，網(wǎng)頁木馬的惡意代碼往往經(jīng)過了一定程度的混淆。隨著互聯(lián)網(wǎng)的普及，網(wǎng)頁木馬傳播越來越迅速，混淆手段日漸復(fù)雜，造成的危害也越來越大，一直是信息安全領(lǐng)域中的一個重點課題。 面對網(wǎng)頁木馬日益增多，混淆和躲避檢測手段層出不窮的現(xiàn)狀，目前的檢測手段已經(jīng)凸顯許多不足之處。本文首先敘述了高混淆網(wǎng)頁木馬的機(jī)制，即它的構(gòu)成、來源和詳細(xì)的攻擊過程。然后從JavaScript混淆、VBScript混淆和Java混淆三個方面總結(jié)了其混淆手段，包括常用的混淆方法和最新的混淆技術(shù)。隨后本文敘述了高混淆網(wǎng)頁木馬的反檢測技術(shù)，如操作系統(tǒng)指紋識別、域名利用和反蜜罐技術(shù)。本文還描述了高混淆網(wǎng)頁木馬的漏洞利用以及其載荷的成分。 通過對高混淆網(wǎng)頁木馬機(jī)制和特征的研究，本文提出了一種基于瀏覽器關(guān)鍵函數(shù)掛鉤的反混淆方法，能夠不在系統(tǒng)中真正執(zhí)行惡意代碼而獲取到其源碼，隨后采用動態(tài)檢測和靜態(tài)檢測方法反混淆后的源碼進(jìn)行檢測。動態(tài)方法主要是檢測源碼中是否含有Shellcode；靜態(tài)檢測方法包括代碼特征統(tǒng)計、代碼特征匹配和URL特征匹配；最后綜合得到網(wǎng)頁木馬的檢測結(jié)果。在此基礎(chǔ)上本文建立了一套動態(tài)檢測和靜態(tài)檢測相結(jié)合的網(wǎng)頁木馬檢測系統(tǒng)，，檢測系統(tǒng)搭建在Linux平臺上，使用了VirtualBox虛擬機(jī)并在其中運行了Sanboxie沙盤。這種雙重虛擬架構(gòu)的好處是恢復(fù)快、開銷小并且安全性高。 最后我們進(jìn)行了實驗，并和同類的網(wǎng)頁木馬檢測系統(tǒng)進(jìn)行了比較。實驗結(jié)果表明，該系統(tǒng)能夠更有效地檢測各種類型的高混淆網(wǎng)頁木馬，具有更高的準(zhǔn)確性、通用性和性能優(yōu)越性。
[Abstract]:Web Trojans exploit vulnerabilities in operating systems, browsers and related applications to spread and destroy. In order to avoid detection, the malicious code of web Trojan often goes through a certain degree of confusion. With the popularity of the Internet, the spread of web Trojan horse is becoming more and more rapid, the means of confusion is becoming more and more complex, and the harm caused by it is becoming more and more serious. It has been a key topic in the field of information security. In the face of the increasing number of web Trojan horses, confusion and avoidance of detection means emerge in endlessly, the current detection methods have highlighted many shortcomings. This paper first describes the mechanism of high confusion web Trojan horse, that is, its composition, source and detailed attack process. Then the methods of JavaScript confusion, VBScript obfuscation and Java obfuscation are summarized, including the common obfuscation methods and the latest obfuscation techniques. Then this paper describes the anti-detection techniques of high-confusion web Trojan horse, such as operating system fingerprint identification, domain name utilization and anti-honeypot technology. This paper also describes the vulnerability exploitation and load components of high-confusion web-horse. Through the study of the mechanism and characteristics of the highly obfuscated web Trojan, this paper proposes an anti-obfuscation method based on the key function hook of browser, which can obtain the source code without actually executing malicious code in the system. Then use dynamic detection and static detection methods to detect the source code after anti-confusion. Dynamic method is mainly to detect whether the source code contains Shellcode; static detection methods, including code feature statistics, code feature matching and URL feature matching; finally, get the detection results of web Trojan horse. On this basis, this paper establishes a web page Trojan detection system which combines dynamic detection and static detection. The detection system is built on Linux platform, using VirtualBox virtual machine and running Sanboxie sand table in it. The benefits of this dual virtual architecture are fast recovery, low overhead and high security. Finally, we have carried on the experiment, and has carried on the comparison with the similar web page Trojan detection system. The experimental results show that the system can detect various types of highly confusing web Trojan more effectively, and has higher accuracy, versatility and performance superiority.
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【共引文獻(xiàn)】

相關(guān)期刊論文 前5條

1 邰非;周峰;張欣;張佩珍;朱明;崔梁屹;;異構(gòu)流媒體平臺間服務(wù)透明化設(shè)計與應(yīng)用[J];計算機(jī)與數(shù)字工程;2014年03期

2 劉陽;黃皓;;Windows平臺應(yīng)用程序權(quán)限能力控制研究[J];計算機(jī)應(yīng)用與軟件;2014年10期

3 張阿莉;刁學(xué)敏;劉威;;新型飛行控制系統(tǒng)總線數(shù)據(jù)處理方法優(yōu)化設(shè)計[J];現(xiàn)代電子技術(shù);2014年07期

4 劉穎;王健;俞凱君;周學(xué)軍;;急診快速分診專家系統(tǒng)軟件開發(fā)與應(yīng)用[J];自動化與儀器儀表;2015年02期

5 陳英婕;楊靜宇;孟元凱;;IOCP在水下安防系統(tǒng)監(jiān)控軟件中的應(yīng)用[J];現(xiàn)代電子技術(shù);2015年04期

相關(guān)會議論文 前2條

1 楊儒良;楊榆;;基于MVC架構(gòu)原理的電子文檔安全管控系統(tǒng)的設(shè)計與實現(xiàn)[A];第十九屆全國青年通信學(xué)術(shù)年會論文集[C];2014年

2 鄭國勤;沈文都;于貴友;張雷;王琳;;BIM及建筑CAD軟件中的圖形平臺技術(shù)研究[A];第十七屆全國工程建設(shè)計算機(jī)應(yīng)用大會論文集[C];2014年

相關(guān)碩士學(xué)位論文 前10條

1 姚明君;船舶分段合攏控制系統(tǒng)研究[D];湖北大學(xué);2013年

2 姚泰然;基于機(jī)器視覺的手機(jī)鏡片分揀系統(tǒng)研究[D];華中科技大學(xué);2013年

3 郭光;Web服務(wù)器上比例延遲保證的分散自校正控制方法[D];北京交通大學(xué);2014年

4 陳立鵬;南京地鐵自動售票機(jī)支付與找零子系統(tǒng)的設(shè)計與開發(fā)[D];南京理工大學(xué);2014年

5 王強(qiáng);信息實時備份平臺研究與實現(xiàn)[D];電子科技大學(xué);2013年

6 王雅;標(biāo)簽自動化制作軟件的設(shè)計與實現(xiàn)[D];北京工業(yè)大學(xué);2013年

7 喬超;實時腦機(jī)接口關(guān)鍵技術(shù)研究及系統(tǒng)實現(xiàn)[D];鄭州大學(xué);2014年

8 蘭勇;基于殼的軟件保護(hù)機(jī)制的研究與實現(xiàn)[D];西南石油大學(xué);2014年

9 舒波;基于OGRE的多視角裸眼立體顯示與渲染技術(shù)研究[D];浙江工業(yè)大學(xué);2014年

10 王尚飛;基于行為監(jiān)控的木馬檢測系統(tǒng)研究與實現(xiàn)[D];北京郵電大學(xué);2014年

本文編號：2302446