[发明专利]基于程序执行特征的网页木马检测方法

权利要求书

1.基于程序执行特征的网页木马检测方法，其特征在于具体步骤包括：

a.使用网络爬虫软件获取被检测网页的HTML源代码；

b.运行脚本解释模块对经步骤a获取得到的HTML源代码进行多层解码处理， 从而得到可识别的脚本源码；

c.对经步骤b得到的可识别的脚本源码进行字节unicode解码，如果解码 结果中出现系统调用和URL下载连接，则说明该脚本源码要完成木马的自动下 载，告警值加1，然后进行步骤d；若未出现系统调用和URL下载连接，则直接 进行步骤d；

d.对经步骤b得到的可识别的脚本源码进行反汇编操作，然后判断对该脚 本源码进行反汇编操作之后所得到的汇编代码是否是可执行的，如果是，则说 明该脚本源码含有Shellcode代码，告警值加1，然后进行步骤e；若该汇编代 码是不可执行的，则直接进行步骤e；

e.对经步骤b得到的可识别的脚本源码进行程序流程分析，如果发现有对 内存写入大量数据的操作，那么就说明这个脚本源码要实现某种溢出操作，告 警值加1；

f.如果告警值累计为3的话就说明该网页是一个网页木马，如果告警值累 计为1或是2的话，说明该网页是个疑似网页木马，如果告警值累计为0的话 就说明该网页是个正常网页。

2.如权利要求1所述的基于程序执行特征的网页木马检测方法，其特征在于：

步骤c中，判断解码结果中是否存在系统调用，是通过对该解码结果进行 模式匹配来实现的，如果该解码结果中出现系统函数，就说明其存在着系统调 用。

3.如权利要求1所述的基于程序执行特征的网页木马检测方法，其特征在于：

步骤d中，判断汇编代码是否是可执行的，是通过判断所述汇编代码中的 JMP和CALL指令之后的地址值是否落在了指令地址范围之内来实现的。

4.如权利要求1所述的基于程序执行特征的网页木马检测方法，其特征在于， 判断是否有对内存写入大量数据的操作的步骤如下：

1)通过查找的方法来定位字符串对象和含有大量Unicode编码的对象；

2)根据步骤1)得到的字符串对象来查找所述脚本源码中的循环操作，如 果该循环操作实现的功能是对步骤1)所得到的字符串对象进行超过300次的自 我累加操作，就说明存在对内存写入大量数据的操作。