毕业设计网站恶意代码的传播方式分析及防护.doc

北京工业大学耿丹学院毕业设计（论文）题目：网站恶意代码的传播方式分析及防护姓 名 张 怿 系 名 信息工程系 专 业 电子信息工程 指导教师 徐宏 日 期 2011. 5 2011年 5月 日诚信承诺 本人 声明，本论文及其研究工作是由本人在导师指导下独立完成，论文所利用的一切资料均符合论文著作要求，且在参考文献中列出。 签名： 日期： 摘 要网站恶意代码是一种通过网页进行传播并实施网络破坏的网络攻击手段，这些具有恶意的代码是包含在网站对外发布的网页文件之中的。网站恶意代码通常是使用脚本语言编写的带有恶意性质的代码，它是依靠系统的漏洞（如IE浏览器存在的漏洞）和操作者的疏忽来进行传播和破坏的。当用户访问了包含有网页恶意代码的网站时，恶意代码便会被下载和执行。受影响的系统轻则浏览器的首页被修改，标题被改变，系统自动弹出广告，重则会被植入木马，感染病毒，使用户无法进行正常的使用，甚至会导致系统的崩溃，敏感信息的丢失等严重后果。由于脚本编程语言简单、易于掌握，编写网页恶意代码的门槛不高，从而导致了用它编制的代码难于实现固定特征值的提取，因此增加了杀毒软件的查杀及用户预防的难度。本文重点针对网站恶意代码的传播方式进行了分析，恶意代码常用的传播方式主要有以下二种：利用被攻击网站服务器操作系统的漏洞进行入侵并直接在网页上放置恶意代码，利用恶意程序先感染网页编写和开发人员的计算机间接进行传播。此外，本文还重点分析了网页恶意代码的设计机制，编写并实现了典型的恶意代码操控过程，并在此基础上，介绍、分析了可能被网页恶意代码利用的漏洞以及防范恶意代码传播和攻击的措施及手段。关键词：网站；恶意代码；漏洞；防范AbstractTrojan is a website to be damaged by a virus, it is being included in the malicious Web page, using malicious code written in scripting languages, relying on loopholes in the system, such as IE browser loopholes to achieve the spread of the virus. When the user login page that contains a malicious Web site virus, Trojan is activated, the affected system if the virus infected website, will be destroyed, ranging from the browser home page is modified, title changed, the system automatically pop-up ads, re- were fitted with Trojans, viruses, so users can not carry out normal use. Even cause system crashes, loss of sensitive information and other serious consequences. As a scripting language is easy to grasp, so the Trojan is very easy to write and modify, resulting in difficult to extract the characteristic value, an increase of killing anti-virus software, and users to prevent difficulties.This article focuses on the mode of transmission of malicious code, site analysis, mainly in the following two points: the use of the attacked web server operating system vulnerability to invasion and infection, infection by malicious programs first web authoring and development personnel and the use of computers infected with malicious Web Development officer or network administrator's computer, the Trojan spread. And highlights the possible use of the vulnerabilities and Trojan sites spread malicious code protection and protection against. I hope to give Internet users and Web site writers, webmasters provide a reference value against Trojan.Key Words：web site；sharp-tongued；Trad；leak目 录摘 要IAbstractII第1章绪论3第2章网页恶意代码52.1网页与恶意代码52.2恶意代码分类62.2.1病毒62.2.2特洛伊木马82.2.3移动代码92.3恶意的脚本102.4恶意的ActiveX控件102.5恶意的Java applet11第3章网站恶意代码的传播方式123.1利用漏洞进行入侵和感染123.2利用网页编写和开发人员的计算机13第4章网站恶意代码的设计、实现与分析144.1网页恶意代码的实现基础144.1.1URL格式漏洞的利用144.1.2ActiveX控件的利用174.1.3利用WSH的缺陷184.2网页恶意代码的实现实例204.2.1IE炸弹攻击214.2.2IE浏览器崩溃23第5章网站恶意代码的防护与修复265.1服务端网页恶意代码传播的防护265.2防护网站恶意代码攻击的方案275.3网页恶意代码攻击后的修复335.3.1IE的默认首页灰色按扭不可选335.3.2篡改IE的默认页335.3.3IE右键菜单被修改345.3.4IE默认搜索引擎被修改345.3.5系统启动时弹出对话框35结 论36参考文献37附 录38附录1 外文原文38附录2 外文翻译48致 谢62第1章 绪论恶意代码是一种可编程的程序代码，它通过将自身镶嵌到另一段代码中来隐藏自己，并最终达到随原代码的运行而被运行的目的，实现对被影响电脑的入侵和破坏。早期的恶意代码通常是指那些具有恶意破坏作用的木马。木马一词源于古希腊的一个传说，它是一对可以通过网络来控制另一台计算机的特定程序。要实现木马控制，通常需要有两个可执行的程序：一个是客户机程序，即控制端程序或控制台程序，另一个是服务器程序，即被控制端程序或木马端程序。木马的设计者为了防止对木马的查杀，需要采用多种隐藏手段。木马的服务端程序一旦被运行并通过网络与控制端建立了连接，其控制端将享有服务器端的最高操作权限，这些操作包括：为被控计算机增加用户，指定口令，实现对文件的浏览、移动、复制、删除等操作，修改注册表，更改计算机配置等。随着恶意代码、木马病毒编写技术的发展，恶意代码和木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其隐蔽的方式来隐蔽自己，使普通用户在中毒后很难发觉。互联网的发展带来了世界范围内的信息共享，改变了人们的生产和生活方式。互联网上TCP/IP协议的采用成功地解决了不同硬件平台、不同软件平台和不同系统间的互操作兼容问题。Internet的出现，为人们提供了电子邮件、远程登陆、文件传输、WWW等众多信息传输服务，这极大地方便了信息的交换和共享。随着Internet在教育、工业、国防、金融等生产和生活等众多领域中的逐渐渗透和发展，互联起来的网络提供快捷、方便的信息服务的同时，也带来了诸多的安全性问题，比如黑客的攻击和入侵、信息失窃和非法使用。网络的安全问题正成为人类社会信息化进程中所面临的巨大挑战，它也将直接影响到国家、政府、企业以及个人的利益。本文重点分析了网站恶意代码的传播方式，介绍并再现了网页恶意代码的设计、编写及实现过程，并在此基础上提出防范网页恶意代码的思路、措施和手段。论文总共分为5章，各章内容简述如下：第一章为绪论：？这里的内容没有增加？第二章为网页恶意代码的介绍：第三章为网站恶意代码的传播：第四章为网站恶意代码的设计、实现、分析：第五章为网站恶意代码的防护与修复：第2章 网页恶意代码2.1 网页与恶意代码网页(web page)，是指网站上保存的用于信息发布的文件，通常是用HTML规范编写的文档代码（文件扩展名为.html或.htm或.asp或.aspx或.php或.jsp等）。网页文件中包含的内容通常是使用网页浏览器来进行打开并阅读的。网页文件是构成网站信息发布的基本元素，它也是承载各种网站应用的平台。通俗的说，网站就是由网页文件所组成的信息发布站。如果一个网站只申请有域名和配备了虚拟的主机，而没有制作任何形式的网页文件，网络中的客户仍将无法访问所建立的网站。网页的英文表示是Web page，它就是一个文件，它通常是存放在世界上某个位置的某部计算机内，并且这部计算机也必须是要与互联网相连的。网页经由网址（ URL ）来识别与存取，当我们在浏览器输入网址后，经过网络的传送与服务器的处理，网页文件会被传送到发出请求的计算机上，然后再通过浏览器的解释，网页中所包含的内容就会展示到请求者的显示器上。网页根据其设计要求的不同通常会有多种不同的分类，一般最为常用的分类是：动态和静态的页面。原则上，静态页面多是通过网站设计软件来进行设计和修改的，并且现在有许多的网站管理系统，都可以自动地生成静态页面（通常，这种静态页面也被称为是伪静态）。动态页面是指那些通过网页脚本语言自动处理、自动更新的页面，比如，贴吧的设计，就是通过设计可以在网站服务器上运行的程序自动地处理输入的信息，并按照设计好的流程更新网页的内容。动态网页与静态网页之间的区别在于：动态网页中包含的脚本可以在Web服务器上被运行，而静态网页中并不包含有这样的脚本。当Web服务器接收到对静态网页的请求时，服务器将该静态网页发送到请求方的浏览器，而不进行更多的处理。当Web服务器接收到对动态网页的请求时，它将做出不同的反映：它将该网页传递给一个称为应用程序服务器的特殊软件扩展，然后由这个软件负责完成页。注意，这些应用服务软件需要与Web服务器软件一并安装、运行在同一台计算机上。此外，动态网页中还是一类被称为是活动文档的网页类型，它是用于那些需要在客户端上进行运行的内容，如在客户屏幕上产生动画或与用户进行交互的内容。两种的主要作用，静态网页主要用于不太经常更新的站点，而动态网页主要应用于数据交换。两者可以结合使用，因为静态网页访问速度很快不需要编译，而动态网页需要制定的服务器加载编译所以访问速度比较慢。当我们在做网站的时候可以采用各自的优点来共同使用，这两种技术。但是对于网页恶意代码来说他们比较倾向于攻击后者，因为后者能获取很多有用的数据信息。而静态网页则不存在数据交互，所以恶意代码攻击这类应用的很少。恶意代码是指嵌入到网页或电子邮件中的一种以破坏为最终目的的脚本代码，通常是通过浏览器软件或邮件收发软件下载到用户端，只需最小限度的调用或根本不需用户介入就可以在用户端得到执行。恶意代码不同于传统意义上的病毒，不具有传染性，但它具有极强的破坏性和欺骗性。可以说几乎所有的上网用户都曾遭遇过恶意代码，具体的现象如：浏览器主页不知何时被设置为莫名网址且无法恢复；每次启动计算机会自动打开某色情网站；注册表编辑功能被禁止等。这些都还只是表面现象，更为严重的是有些恶意代码能盗取用户浏览器Cookie中的个人敏感信息，如信用卡号、用户名和密码等，造成不可估量的损失。现在流行的恶意代码一般有JavaScript脚本和ActiveX控件等4种形式，这2种恶意代码的作用机理和防护措施不尽相同，本文将力图进行较为详尽的分析。2.2 恶意代码分类2.2.1 病毒病毒一般都具有自我复制的功能，同时，它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中，当被感染文件执行操作的时候，病毒就会自我繁殖（例如：打开一个文件，运行一个程序，点击邮件的附件等）。由于设计者的目的不同，病毒也拥有不同的功能，一些病毒只是用于恶作剧，而另一些则是以破坏为目的，还有一些病毒表面上看是恶作剧病毒，但实际上隐含破坏功能。病毒可以分为以下几类：感染文件病毒、感染引导区病毒、宏病毒和恶作剧电子邮件。 感染文件病毒：感染文件病毒会把自己加载到可执行文件中，例如：WORD、电子表格、电脑游戏。当病毒感染了一个程序后，它就会自我复制去感染系统中的其他程序，或者是其他通过共享使用了被感染文件的系统。此外，病毒还会驻留在系统内存中，以至于一旦有新的程序运行就会被病毒感染。病毒的另一种感染方式是通过修改程序运行时所执行文件的顺序而不是修改程序运行的文件本身。在这种情况下，被感染的程序在执行的时候将先运行病毒，而后才运行自己的文件。目前，jerusalem和cascade是这类病毒中比较著名的。 感染引导区病毒：感染引导区病毒可以感染硬盘或是可移动存储设备（例如软盘）的主引导区。引导区是存储器最开始的一段空间，它用来放置存储器中数据的结构定义等信息。此外，引导区中还包含引导程序，它在主机启动时运行来引导操作系统启动。主引导区是硬盘上一段独立的空间，只有用基本输入/输出系统可以定位和加载它的引导程序。当带病毒磁盘的内容在系统启动时被读取，病毒代码就会被执行；软盘等可移动存储设备即使不是启动盘，它也可以感染系统。感染引导区病毒具有极好的隐藏能力，并且可以对电脑造成极大的破坏,甚至可以达到无法恢复的地步。电脑如果感染这种病毒，一般会出现以下症状：电脑在启动时显示错误信息提示，或者是无法启动。Michelangelo和Stoned是这种病毒的典型例子。 宏病毒：宏病毒是目前比较流行也是比较危险的一种病毒。宏病毒把自己加载到WORD和电子表格等文件中。这种病毒就像它的名字所说的，它是利用宏语言编写的应用程序来运行和繁殖的。目前许多受欢迎的软件（例如：Microsoft Office）都会自动利用宏语言来编译和反复执行作业。宏病毒就会利用这一点来传播恶意代码。由于用户经常把带有宏程序的文件共享，所以宏病毒的传播速度是非常快的。当宏病毒感染文件的时候，它也会把该文件用于创建和打开操作的临时文件感染。因此，被宏病毒感染的文件创建出的临时文件也是被感染的文件。Marker和Melissa是这种病毒的典型例子。 恶作剧电子邮件：这种病毒就像它的名字提到的一样，是一种假冒的病毒警告。它的内容一般是恐吓用户，表示将要对用户电脑造成极大的破坏；或是欺骗用户电脑即将被病毒感染，警告他们立即采取紧急措施。尽管这种病毒发布的信息是非法的，但是它还是像真正的病毒一样传播广泛。通常这种病毒的传播是通过一些无辜的用户，他们希望发送这个信息提醒其他人防范病毒的侵袭。通常，恶作剧邮件并不会造成什么危害，但是有的恶作剧邮件会指使用户修改系统设置或是删除某些文件，这将会影响系统的安全性。阅读恶作剧邮件会浪费用户时间，而且一些恶作剧邮件会发送到一些技术支持的部门，警告他们将会有新的病毒威胁网络安全或是寻求帮助。这种病毒传播比较广泛的有Good Times和Bud Frogs。2.2.2 特洛伊木马这类病毒是根据古希腊神话中的木马来命名的，这种程序从表面上看没有什么，但是实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的。特洛伊木马可以分为以下三个模式： (1) 通常潜伏在正常的程序应用中，附带执行独立的恶意操作 (2) 通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作 (3) 完全覆盖正常的程序应用，执行恶意操作 大多数木马都可以使木马的控制者登录到被感染电脑上，并拥有绝大部分的管理员级控制权限。为了达到这个目的，木马一般都包括一个客户端和一个服务器端客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。通常木马所具备的另一个是发动DDoS(拒绝服务)攻击。 还有一些木马不具备远程登录的功能。它们中的一些的存在只是为了隐藏恶意进程的痕迹，例如使恶意进程不在进程列表中显示出来。另一些木马用于收集信息，例如被感染电脑的密码；木马还可以把收集到的密码列表发送互联网中一个指定的邮件帐户中。2.2.3 蠕虫蠕虫是一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不象其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以及快的速度传输（在几秒中内从地球的一端传送到另一端）。其中比较典型的有Blaster和SQL Slammer。2.2.4 移动代码移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java applets，ActiveX，javascript，和VBScript。2.2.5 复合型病毒复合型病毒就是恶意代码通过多种方式传播。著名的Nimda蠕虫实际上就是复合型病毒的一个例子，它通过四种方式传播：1. E-Mail：如果用户在一台存在漏洞的电脑上打开一个被Nimda感染的邮件附件，病毒就会搜索这台电脑上存储的所有邮件地址，然后向它们发送病毒邮件。 2. 网络共享：Nimda会搜索与被感染电脑连接的其他电脑的共享文件，然后它以NetBIOS作为传送工具，来感染远程电脑上的共享文件，一旦那台电脑的用户运行这个被感染文件，那么那台电脑的系统也将会被感染。 3. Web服务器：Nimda会搜索Web服务器，寻找Microsoft IIS存在的漏洞，一旦它找到存在漏洞的服务器，它就会复制自己的副本过去，并感染它和它的文件。 4. Web终端：如果一个Web终端访问了一台被Nimda感染的Web服务器，那么它也将会被感染。 除了以上这些方法，复合型病毒还会通过其他的一些服务来传播，例如直接传送信息和点对点的文件共享。人们通常将复合型病毒当成蠕虫，同样许多人认为Nimda是一种蠕虫，但是从技术的角度来讲，它具备了病毒，蠕虫和移动代码它们全部的特征。12.3 恶意的脚本脚本代码是实现动态网页效果的必需元素，通常使用JavaScript脚本语言或VbScript脚本语言编写，并嵌入到静态网页HTML语言中，形成混合代码。当用户访问网页时，浏览器会自动下载脚本代码到用户端，并由WSH(Windows ScriptingHost，Windows脚本宿主)组件解释执行。WSH组件无法区别脚本代码的善与恶，如果被执行的是一段恶意脚本，带来的危害就不可避免。网页恶意脚本的危害主要有以下几个方面。枯竭系统资源通过大量消耗用户系统的可用资源，使CPU的占用率达到100，最终导致系统无法使用。这里给出一个最简单也是最典型的例子：恶意脚本执行后产生一个死循环，不断打开同一个网页，并且不再响应任何击键操作，直至重启计算机。劫持浏览器无论哪一种脚本都支持如下功能：与网页的其他成分交互、访问URL信息、改变窗口大小等。当这些特权被恶意代码滥用时，它们就会强迫用户访问有害或黄色站点，强制添加陌生网页到收藏夹，甚至监控用户的浏览活动，形成所谓的浏览器被劫持的现象。盗取Cookie信息 Cookie是浏览器为某网站保存在用户端的一系列文本文件，包含用户在访问某网站时的参数选择以及会话信息，其中可能包含一些敏感信息如信用卡号、用户名和密码等。设置Cookie的最初目的只是想方便人们访问自己喜欢的站点，比如避免重复的输入和选择。但是美好的初衷一旦被恶意利用，麻烦随即产生。攻击者只要通过简单的恶意代码就可以轻而易举地获取用户的Cookie信息包括其中的敏感信息，然后进行欺诈活动。2.4 恶意的ActiveX控件ActiveX控件是一种特殊的COM对象，可以在不同系统平台的不同应用程序中运行，其中包括各种浏览器。ActiveX控件的使用大大方便了应用程序的功能扩展。虽然ActiveX控件的运行必须依靠某种应用程序作为容器，但一旦开始运行，它和标准的应用程序在功能上毫无二致，例如可以读写文件、修改注册表、调用其他程序等。一些不良网站提供了恶意的ActiveX控件供不知情的用户下载和运行，之后悄悄地传播病毒、安装木马和BHO (Browser Helper Object，浏览器助手对象)插件。相比之下，恶意ActiveX控件的危害性比网页恶意脚本更大。22.5 恶意的Java appletava applet是用Java语言编写的嵌入网页中的小程序，供用户下载并通过安装在用户系统中的Java插件运行。在标准的安全模型下，Java applet是在一个高限制性的沙箱(SandBox)机制下运行，即不被允许访问任何本地资源和自身服务器以外的网络资源，因此不会给恶意代码以任何的机会。改进后的安全模型允许Java applet有限制地访问本地资源和其他网络资源，其做法和ActiveX控件一样，需要经认证的开发者加密签名。改进的安全模型给恶意的Java applet提供了进行破坏的机会，因为一些不良网站也可以想方设法给恶意Java applet加密签名，并取得用户的信任。此外，JRE (Java Runtime Enviroment，Java运行环境) 自身的一些漏洞也能使恶意的Java applet摆脱沙箱机制的限制。第3章 网站恶意代码的传播方式目前，越来越多的恶意程序开始利用互联网进行传播，而不像几年前主要通过电子邮件传播。造成这一现象的主要原因是犯罪意图的升级。因为网络犯罪实施起来相对容易，而且网上有很多教人如何进行网络攻击的教程和资源。此外，由于缺乏有效的跨国界执法力量，使得从事网络犯罪所面临的风险相对很低。网络犯罪的猖獗也造就了很多新的网络犯罪趋势，例如使用恶意程序针对零日漏洞进行攻击，还有专门用于窃取机密数据的恶意程序数量明显上升，被盗的机密数据通过销售可以换来可观的收益。近年来，卡巴斯基实验室就一直对100,000-300,000个网站进行监控，试图追踪这些网站何时被感染，并且成为传播恶意程序的基点。根据监控数据，2006年，大约每两万个网站中有一个被感染。而到2009年，大约每一百五十个网站中就会有一个被感染，可见其增长幅度非同寻常。恶意程序传播感染网站的二种主要途径和手段。3.1 利用漏洞进行入侵和感染江民全球病毒监控系统、云安全防毒系统监测到一个利用微软“MS08-67”漏洞入侵网站服务器，进行批量挂马的“牧童”变种k病毒，该病毒运行后会利用其释放的恶意驱动程序强行关闭安全软件的自我保护功能，终止大量的安全软件、系统工具和应用程序的进程，使得用户计算机失去保护，致使用户面临更多的网络安全威胁。例如当前比较流行的牧童病毒，“牧童”变种病毒运行后会感染所有磁盘分区中的“.html”和“.htm”文件，通过向其尾部添加额外代码来实施网页挂马。而病毒一旦入侵到某个网站的服务器中，就会把这台网站服务器上的所有网页插入木马脚本，使所有通过互联网访问到这些网页的用户中毒，造成大量用户感染病毒，从而实现病毒的进一步传播。3据了解，该病毒除了会通过“MS08-67”漏洞进行传播外，还会感染C盘以外的大量“.exe”文件，受感染的文件一旦被运行，就会在被感染计算机系统的后台秘密连接骇客指定的远程服务器，下载大量恶意程序并自动调用运行，所下载的恶意程序包括大量网络游戏盗号木马、远程控制木马等，严重威胁用户私密信息安全。必须采取有效安全防范措施，安装杀毒软件，可以有效防范该病毒的侵害。同时，应该养成良好的上网习惯是防范病毒入侵的关键。（1）每天定时升级病毒库，定时全盘查杀，上网时开启杀毒软件的各项监控功能。（2）开启杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。3.2 利用网页编写和开发人员的计算机利用恶意代码程序先感染网页编写和开发人员的计算机，这样生成和被上传到网站的HTML文件中就会被注入恶意代码。当用户打开这个网址的网页是就下载了一种特殊的程序，即网页恶意代码。网页恶意代码是利用网页来进行破坏的病毒，它包含在恶意网页之中，使用脚本语言编写恶意代码，依靠系统的漏洞，如IE浏览器存在的漏洞来实现病毒的传播。当用户登陆了包含网页病毒的恶意网站时，网页恶意代码便被激活，受影响的系统一旦感染网页病毒，就会遭到破坏，轻则浏览器首页被修改，标题改变，系统自动弹出广告，重则被装上木马，感染病毒，使用户无法进行正常的使用。甚至会引起系统崩溃，敏感信息丢失等严重后果。由于脚本语言易于掌握，所以网页恶意代码非常容易编写和修改，造成很难提取特征值，增加了杀毒软件查杀以及用户预防的困难。目前的网页恶意代码都是利用脚本语言、ActiveX、WSH等来实现对客户端计算机的远程操作，如改写注册表，添加、删除、更改文件夹等操作。网页病毒可以以此来达到传播的目的。4第4章 网站恶意代码的设计、实现与分析4.1 网页恶意代码的实现基础网页恶意代码的设计可以根据攻击者的目的不同存在有多种不同的表现形式。下面将通过对几种常见的恶意代码的设计及实现内容进行分析，说明恶意代码的设计思路及实现方式，从而为有针对的防护和恢复建立理论依据。4.1.1 URL格式漏洞的利用此类网页恶意代码是利用URL格式的漏洞来欺骗用户，它通过构造一个看似JPG格式的文件来引诱、欺骗用户进行下载、打开，但事实上会伴随用户下载的是一个EXE可执行文件。此类的攻击方式具有相当的隐蔽性。利用URL欺骗的方法可以有很多种，比如，通过具有诱惑性的网站名称，或使用易混的字母数字来进行银行网站的钓鱼，以及使用 “%30%50”之类的Unicode编码等等。下面列举几种比较常见的方法：1. 使用标志来过滤对用户名的解析标志原本是用于E-mail地址中将用户名与主机进行分隔的符号，但它在URL中也同样适用，而且功能相同，即用于将用户名与主机进行分隔。HTTP（超文本传输协议）所规定的URL的完整格式是：Http:/Name：PasswordIP地址或主机名注意，其中的“IP地址或主机名”是必填项。而标志与其前面的“Name：Password”，意为“用户名：密码”，属于可选项。也就是说，在URL中真正起解析作用的网址是从标志后面开始的，许多人这一点的不了解，就可以用于URL上欺骗性设计。例如，设计一个URL其内容为：Http:/< A href=http:/www.T >www.T从表面上看，这像是由新浪网提供的一个链接，用户会认为这应该是一个无害的链接，然而对它进行单击后，实际上访问的是以 “”（即新浪网址形式的）为用户名且密码为空的对“www.T 的内容。也就是说这个URL地址其对应的是http:/www.T HuiGeZi_Server.exe。而这与前面的用户名毫无关系。这个用户名只是用来迷惑用户，降低其防范意识的幌子。由于有标志，即使没有这个用户名，也完全不影响浏览器对URL的解析。可见，将包含有标志的精心设计的恶意HTML代码放置在决普通的网页文件中，可以诱骗网络使用者错误地访问恶意的网页，从而达到下载木马、恶意程序的目的。2. 十进制的IP地址目前使用的IPv4中，IP地址为32位长度，它包括了四个字节二进制，一般用十进制可表示为“xxx.xxx.xxx.xxx”，其中x表示一个十进制数，例如“61.135.132.12”。在实际应用中由于数字表示的IP地址较长，过于抽象、难以记忆，因此人们广泛采用了域名服务DNS来解决这个使用问题。在使用时，输入域名与输入IP地址其结果往往是相同的，如在浏览器地址栏中输入“Http:/”与“Http:/61.135.132.12”的结果是完全一样的，它们都会访问搜狐网站，因为61.135.132.12就对应于搜狐域名的IP地址。不过，如果使用Http:/1032291340来访问，仍然可以打开搜狐网站，这是因为，四位点分表示的十进制的IP地址为“61.135.132.12”，它代表一组32位二进制数码，如果将它们合在一起转换成一个单一的十进制数，其结果是1032291340。转换方法，就是数制的按权展开：12×2560132×2561135×256261×25631233792884736010234101761032291340（基数为256，即28）。在上面介绍的例子中提到了“www.T”。这种字母域名有时还能被许多用户所识破，而在把它对应的IP地址，假设为“61.135.132.13”，换算成一个十进制数后，其结果是1032291341，再结合标志过滤用户的解析，就会变成Http:/1032291341这样的地址，这样就会更加隐蔽了。5可见，在恶意HTML代码的设计中使用十进制的IP地址，可以直观地隐藏恶意的网站位置，从而达到欺骗、误导的目的。3. 虚假的网址网络中的钓鱼者通过会注册一个和真实网站域名（指需要进行假冒的网站）十分相似的域名，并设计一个和真实网站页面非常相似的用户界面，然后再将URL提供给用户，这样当用户被引导到这样的虚拟网站上时，他们通常是难以察觉到上当的。钓鱼攻击者正是利用这样的网站和网页设计来诱导用户输入自己的个人身份信息，从而达到窃取的目。例如真实网站域名是xxx.lovebank.xxx,伪造网站域名是www.1ovebank.xxx。注意这里的不同，一个是小写的“L”，一个是数字“1”，域名服务器将解析会将它们解析到完全不同的IP地址上，但用户在操作时，是很难看出来其中的分别的。再如真实网站的域名是，而虚假网站使用域名www.xxx.xxx，其不同是，少了一个.cn，很多人对此也会无法判别。在进行恶意代码的设计中，通过使用虚假的网址来替代正确的网址，并将它们嵌入到被攻击的网页文件中，也是许多恶意代码攻击者所常用的攻击方式。4. 显示替换更隐蔽的方法，是根据超文本标记语言的规则，可以对文字制作超链接，这样就使网络钓鱼者有机可乘。例如文件源代码可以写成：“”。这样，屏幕上显示的是xxxbank的网址，而实际却链接到了xxbank的虚假网站。5. 伪装采用伪装手段。可以在浏览器打开虚假网站的时候，弹出一个很隐蔽的小图像，正好覆盖在浏览器显示网址的地方，该小图像显示被仿冒的网站的真实域名，而浏览器真正访问的地址被掩盖在下面。6. 虚假弹窗即使用虚假的弹出窗口进行掩盖。一些虚假网站会将用户转移到真实的网址，但是转移之前制造假冒的弹出窗口，提示用户进行个人登陆的操作，很多用户会误认为这些弹出窗口是网站的一部分而进一步按照提示操作，直到透露出自己的个人身份信息。7. 浏览器漏洞可以利用浏览器漏洞窃取个人信息，如IE就曾暴露出一个漏洞，该漏洞使攻击者可以在垃圾邮件中构造一种数据，用户点击后便可使IE浏览器显示的网址与实际访问的网址不同。采用这种方式进行攻击，欺骗性更好，可以通过向用户发送包含URL的垃圾邮件的方式，诱骗用户点击，用户如果不检查邮件的原始代码，根本无法知道自己被浏览器欺骗了。8. 修改HOSTS文件黑客程序可以修改用户计算机中的HOSTS文件，将特定域名的IP地址设置成自己的虚假网站的地址，用户访问这些网站时，机器会从HOSTS文件中获得对应的IP。除了上面的方法外，更为隐蔽和目前常用的攻击手法是，攻击者首先攻破一个正常的网站，然后修改网站的代码，通过跳转语句或嵌入JS脚本的手段，来改造一个挂马的网站，这样当用户点击了包含正常网站的URL时，是不会有戒备心理的，更容易造成更大的损失。4.1.2 ActiveX控件的利用 ActiveX的内容（1）ActiveX 控件以前称为 OLE 控件或 OCX 控件. 是组件 （或对象） 打包,别人编程功能. 以便您可以重用 Web页或其他程序中插入。 例如, 随 Internet Explorer 一起提供 ActiveX 控件可用于增强 Web页具有复杂格式功能和动画。 （2）ActiveX 控件结合了Java 程序和 Netscape 插件优点，还可以用许多编程语言, 包括所有 Microsoft 编程和在数据库语言编写程序中使用 ActiveX 控件。 (3) ActiveX 文档用一个 ActiveX - 识别 Web 浏览器如 Internet Explorer, 浏览时 ActiveX 文档使您能够使用自己的工具栏和菜单可打开程序。 这意味着您可以通过使用 ActiveX - 识别 Web 浏览器打开非HTML 文件, 如 Microsoft Excel 或 Microsoft Word 文件