[发明专利]一种挂马网页中网页木马挂接点自动定位方法

权利要求书

1.一种挂马网页中网页木马挂接点自动定位方法，所述方法包括下列步骤：

a)通过设定的网页木马检测方法检测待分析网页，确定挂马网页；

b)获得挂马网页中的样式表；提取样式表中的脚本；输出存在恶意脚本的样式表在 其父网页中的位置，所述恶意脚本具有下列恶意特征中的一种或多种：调用已知漏洞的对 象、包含恶意代码、打开恶意网页、重定向至恶意网页、和添加恶意网页；

c)获得挂马网页中的脚本；输出恶意脚本在其父网页中的位置，所述恶意脚本具有 下列恶意特征中的一种或多种：调用已知漏洞的对象、包含恶意代码、打开恶意网页、重 定向至恶意网页、和添加恶意网页；通过下列方法确定脚本是否为恶意脚本：

c-1)若脚本所在的网页中仅包含一段脚本，则设置此脚本的嫌疑度为3，否则设置为0；

c-2)使用杀毒软件扫描脚本，若包含恶意代码，则设置此脚本的嫌疑度为5，否则设置 为0；

c-3)若脚本标签包含src属性，且src属性值所指向的URL包含转码，则该设置此脚本 的嫌疑度为1，否则设置为0；

c-4)若脚本包含对已知漏洞的对象的调用，则设置此脚本的嫌疑度为2，否则设置为0；

c-5)若脚本中包含打开恶意网页的行为，则设置此脚本的嫌疑度为5，否则设置为0；

c-6)若脚本中包含重定向至恶意网页的行为，则设置此脚本的嫌疑度为5，否则设置为 0；

c-7)若脚本中包含添加恶意网页的行为，则设置此脚本的嫌疑度为5，否则设置为0；

c-8)将上述嫌疑度相加，获得该脚本的总嫌疑度，若总嫌疑度大于或等于5，则认定该 脚本为恶意脚本；

d)获得挂马网页中的内嵌网页，对确定挂马的内嵌网页，比较其站点域名与所述挂 马网页的站点域名是否相同，若不同则确定该内嵌网页为恶意网页，输出其内嵌标签在其 父网页中的位置；若相同则将该内嵌网页作为挂马网页重复步骤b)，c)，d)。

2.如权利要求1所述的挂马网页木马挂接点自动定位方法，其特征在于，所述样式 表包括外部样式表和内部样式表；

所述外部样式表通过下列方法获得：扫描挂马网页，当遇到<link>标签时，若其属性 满足<rel＝″stylesheet″，type＝″text/css″>，且含有href属性，则提取href属性值指向的样式 表；

所述内部样式表通过下列方法获得：扫描挂马网页，当遇到<style>标签时，若其属性 满足<type＝″text/css″>，则提取该标签内部的样式表。

3.如权利要求1所述的挂马网页木马挂接点自动定位方法，其特征在于，通过下列 方法提取样式表中的脚本：

扫描样式表，若存在“expression”字段，则提取其后最近的一对匹配的“(”与”)”之间的 脚本；

扫描样式表，若存在“url(‘javascript：”字串，则提取在其后与之匹配的”)”之间的脚本。

4.如权利要求1所述的挂马网页木马挂接点自动定位方法，其特征在于，所述挂马 网页中的脚本包括内部脚本和外部脚本；

所述内部脚本通过下列方法获得：扫描挂马网页中的<script>标签，若该标签不存在 src属性，则提取该标签内部的脚本；

所述外部脚本通过下列方法获得：扫描挂马网页中的<script>标签，若该标签存在src 属性，则提取src属性值指向的脚本。

5.如权利要求4所述的挂马网页木马挂接点自动定位方法，其特征在于，若所述 <script>标签存在src属性，则对src属性值进行解码，若解码后的值与原值不同，则认定 所述外部脚本为恶意脚本。