专家教你如何进行网站挂马检测与清除

图6 获取的QQ密码 (5)伪装挂马

高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina.com 或者security.ctocio.com.cn等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：

[回到顶部][回复此楼][引用][举报] 楼 2009-07-02 10:49

3.对地址进行解码

3

该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以找出该代码中的真实地址为http://ave1.cn。

4大皆

空

4.获取该网站相关内容

金币：

可以使用Flashget的资源管理器去获取该网站的内容，如图4所示，打开

373

Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索

经验：1589

器，在地址中输入“http://ave1.cn”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。

等级：初中二年级

功勋：2

短信

图4 使用“站点资源探索器”获取站点资源 说明：

使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。

在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对原代码文件

进行分析。

5.常见的挂马代码 (1)框架嵌入式网络挂马

网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：

解释：在打开插入该句代码的网页后，就也就打开了http://www.xxx.com/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。

(2)Js调用型网页挂马

js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下：

http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选