基於web網頁的木馬病毒掃描方法

2023-06-05 01:41:56 1

專利名稱：基於web網頁的木馬病毒掃描方法
技術領域：
本發明涉及一種病毒掃描技術，特別涉及一種基於WEB網頁的木馬病 毒掃描方法。
背景技術：
當前計算機網絡應用非常廣泛，多種應用均依賴於計算機網絡環境。 但網絡環境中的病毒也逐漸多了起來，例如計算機網絡病毒可隨網絡連結 到聊天工具MSN，電子郵件、網頁等等。以盜取個人帳號密碼等信息為目 的的木馬病毒越來越多，其產生的危害也越來越大。當前反木馬病毒的殺 毒軟體多為基於WINDOW平臺的個人PC機，安裝在客戶端的防病毒軟體。 針對WEB環境的伺服器端，或針對不同PC系統環境，沒有比較合適的木 馬病毒控制軟體。據了解，當前伺服器端遭受的黑客攻擊，80%為WEB 攻擊，黑客在獲得WEB權限後，會立刻上傳WEB木馬病毒，進行進一步的 權限提升，給伺服器造成嚴重的威脅。

發明內容
本發明要解決的技術問題是提供一種基於WEB網頁的木馬病毒掃描 方法，該方法能在WEB伺服器端，對網頁木馬文件進行掃描，且能適用於 不同的作業系統環境。
為解決上述技術問題，本發明的基於WEB網頁的木馬病毒掃描方法， 包括以下步驟(1) .獲得WEB伺服器所有WEB目錄;加載包含木馬病毒特徵的木馬病 毒規則庫及非木馬病毒文件的白名單；
(2) .枚舉WEB目錄下的腳本文件，循環判斷是否包含木馬病毒規則庫 內容；
(3) .如果WEB目錄下的腳本文件包含木馬病毒規則庫中的內容，則進 行步驟(4);如果否，進行步驟(2);
(4) .若腳本文件包含在白名單中，則進行步驟(2);
(5) .若腳本文件未包含在白名單中，則進行報警。 本發明的基於WEB網頁的木馬病毒掃描方法，可應用於WINDOWS系統
平臺或L頂UX平臺，根據其應用系統環境，建立相應的木馬病毒規則庫文 件，用正則方式(正則表達式)匹配當前網頁腳本中是否含有木馬病毒規 則庫內包含的木馬特徵，能在WEB伺服器端，對網頁木馬文件進行掃描， 能掃描到WEB網頁木馬，可在第一時間發現黑客入侵網站，不會等造成損 失之後採取彌補網站漏洞，提高了網絡安全檢測的實時性，降低人工管理 成本。


下面結合附圖及具體實施方式
對本發明作進一步詳細說明。
圖1是基於WEB網頁的木馬病毒掃描方法的一實施方式的流程圖。
具體實施例方式
本發明的基於WEB網頁的木馬病毒掃描方法的一實施方式如圖1所 示，木馬病毒掃描工具安裝在WEB伺服器端，對黑客惡意上傳的或者利用 WEB漏洞寫入的網頁木馬病毒文件進行掃描，當運用本發明提出的方法進行木馬病毒掃描時，當發現WEB目錄下的腳本文件存在包含網頁木馬病毒 的特徵字樣時，即報警並將信息輸出到文本文件。包括以下步驟
1. 獲得基於WIND0WS+IIS (即平臺為WINDOWS作業系統和IIS WEB引 擎)或LINUX的所有WEB目錄(包括站點目錄及虛擬目錄)；搜索當前ASP、 JSP、 PHP、 ASPX等腳本語言的木馬病毒樣本，提取木馬病毒規則庫信息， 根據木馬病毒規則庫信息加載木馬病毒規則庫及白名單；
2. 枚舉WEB目錄下的腳本文件，循環判斷是否包含木馬病毒規則庫內
容；
3. 如果WEB目錄下的腳本文件包含木馬病毒規則庫中的內容，則判斷 其是否包含在白名單中。如果否，則繼續判斷下一WEB目錄下的腳本文件 是否包含木馬病毒規則庫內容；
4. 若腳本文件包含在白名單中，則再次返回步驟2循環判斷；
5. 若腳本文件未包含在白名單中，則進行報警。 以WEB伺服器為WINDOWS應用平臺為例
在WEB伺服器，首先獲得WINDOWS的WEB站點目錄及虛擬目錄，啟動 掃描程序。WINDOWS 2003版本之前的作業系統中，隱含的註冊表鍵值包 含了 WEB站點目錄，査詢此鍵值即可獲得當前系統的WEB站點目錄，但不 能獲得虛擬目錄，虛擬目錄的獲得可以通過査詢IIS的ARCHIVE庫獲得。 WINDOWS 2003及之後的作業系統中，不能直接獲得註冊表，需査詢IIS 的ARCHIVE庫，以獲得所有的WEB站點目錄以及虛擬目錄信息。
提取木馬病毒規則庫信息，根據木馬病毒規則庫信息加載木馬病毒規 則庫、白名單。搜集目前的ASP、 JSP、 PHP、 ASPX等腳本語言的木馬病毒樣本，從中提取出木馬病毒規則庫信息。此木馬病毒規則庫信息沒有統一
的數據，當前根據自行搜索的約100項WEB網頁木馬病毒信息，從中提取
了相應的規則。採用的規則信息如下
1) 程序執行規則，大多數的木馬病毒都有在網頁上執行系統命令的 接口， 一般正常的網頁不會執行此類命令；
2) 調用系統組件，有的木馬病毒會調用系統組件，比如FS0、 WSCRIPT、 APPLICATION等，有的為了躲避掃描，還調用了組件對應的CLASSID直接 執行，這些組件大多正常程序不會應用；
3) 註冊表查詢，修改功能，WEB網頁木馬病毒為了能夠更深入的提升 自己的權限，往往會査詢，修改註冊表而達到目的；
4) 文件及目錄的訪問，WEB網頁木馬病毒為了能夠上傳更強的系統級 別木馬，往往會使用該功能；
5) 加密，WEB網頁木馬病毒為了避免被掃描，也可能使用ENCODE組 件或相似的功能對網頁代碼加密， 一般情形下的網頁沒有此內容。
根據上述規則信息，在WEB伺服器加載包含木馬病毒特徵的木馬病毒 規則庫及非木馬病毒文件的白名單。在WEB伺服器的掃描過程中，掃描程 序調用木馬病毒規則庫，該木馬病毒規則庫為一個正則表達式，枚舉WEB 目錄下的腳本文件，是否包含木馬病毒規則庫中內容。之後若WEB目錄下 的腳本文件包含木馬病毒規則庫中內容則査找白名單，若在白名單中未發 現此文件在其中，則認為是木馬，進行報警。
比如掃描一個木馬病毒文件，文件名叫"一句話.asp"，文件內容為 <%execute (request(〃#〃))％〉啟動我的掃描程序
F: \網頁木馬項目\scanwebtrojan\Debug\scanwebtrojan. exe 在掃描過程中，掃描程序調用了木馬病毒規則庫 CheckEval=、 \bEval\s*[\ (] " Xs氺requestf 6、
該木馬病毒規則庫為一個正則表達式，因為此表達式匹配上述的內容，則 接下來査找白名單
999001869= D:\test\inc\version. inc;D:\test\admin—scanshell. asp; D:人hellcA小馬.asa; D: \\website\\ bsc—admin\\ project\\ CoolPlay\\ include\\Tools. asp
在白名單中未發現此文件在其中，則認為是木馬病毒，進行報警。報警如 下開始掃描文件D: 、hellcA—句話.asp [2008.05.14 16:39:41]192. 168. 70.85| | 文件名為D:ViellcA—句 話.asp Uniqueid為999006127評分值為6
本發明的基於WEB網頁的木馬病毒掃描方法，可應用於WINDOWS系統 平臺或LINUX平臺，根據其應用系統環境，建立相應的木馬病毒規則庫文 件，用正則方式(正則表達式)匹配當前網頁腳本中是否含有木馬病毒規 則庫內包含的木馬病毒特徵，能在WEB伺服器端，對網頁腳本文件進行掃 描，能掃描到WEB網頁木馬病毒，可在第一時間發現黑客入侵網站，不會 等造成損失之後採取彌補網站漏洞，提高了網絡安全檢測的實時性，降低 人工管理成本。
權利要求
1、一種基於WEB網頁的木馬病毒掃描方法，其特徵在於，包括以下步驟(1).獲得WEB伺服器所有WEB目錄；加載包含木馬病毒特徵的木馬病毒規則庫及非木馬病毒文件的白名單；(2).枚舉WEB目錄下的腳本文件，循環判斷是否包含木馬病毒規則庫內容；(3).如果WEB目錄下的腳本文件包含木馬病毒規則庫中的內容，則進行步驟(4)；如果否，進行步驟(2)；(4).若腳本文件包含在白名單中，則進行步驟(2)；(5).若腳本文件未包含在白名單中，則進行報警。
2、 根據權利要求1所述的基於WEB網頁的木馬病毒掃描方法，其特 徵在於，WEB伺服器為WINDOWS作業系統並置有IIS WEB引擎。
3、 根據權利要求2所述的基於WEB網頁的木馬病毒掃描方法，其特 徵在於，通過査詢IIS的ARCHIVE庫，獲得包括WEB站點目錄以及虛擬目 錄的WEB伺服器所有WEB目錄。
4、 根據權利要求1所述的基於WEB網頁的木馬病毒掃描方法，其特 徵在於，WEB伺服器為LINUX作業系統。
全文摘要
本發明公開了一種基於WEB網頁的木馬病毒掃描方法，包括以下步驟(1)獲得WEB伺服器所有WEB目錄；加載包含木馬病毒特徵的木馬病毒規則庫及非木馬病毒文件的白名單；(2)枚舉WEB目錄下的腳本文件，循環判斷是否包含木馬病毒規則庫內容；(3)如果WEB目錄下的腳本文件包含木馬病毒規則庫中的內容，則進行步驟(4)；如果否，進行步驟(2)；(4)若腳本文件包含在白名單中，則進行步驟(2)；(5)若腳本文件未包含在白名單中，則進行報警。本發明能在WEB伺服器端，對網頁木馬文件進行掃描，且能適用於不同的作業系統環境。
文檔編號H04L29/06GK101599947SQ20081004345
公開日2009年12月9日 申請日期2008年6月6日 優先權日2008年6月6日
發明者任海翔 申請人:盛大計算機(上海)有限公司