公开(公告)号：CN101799855B

公开(公告)日：2012-08-22

申请号：CN201010124674.4

申请日：2010-03-12

Applicant: 北京大学

Inventor： 钟金辉 ,  韩心慧 ,  郭晋鹏 ,  诸葛建伟 ,  宋程昱 ,  龚晓锐

IPC: G06F21/00 ,  G06F9/44 ,  G06F17/30

Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法，其步骤包括：1)构造一个ActiveX组件M，其对象实例m用于模拟目标网页中缺失的组件N；2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API，记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系；3)调用浏览器访问目标网页，当目标网页请求创建缺失的组件N时，由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件；4)解析日志文件，判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件，可以触发网页木马更多的攻击行为；能够得到网页木马在ActiveX组件调用这一层的攻击行为。

公开(公告)号：CN101799855A

公开(公告)日：2010-08-11

申请号：CN201010124674.4

申请日：2010-03-12

Applicant: 北京大学

Inventor： 钟金辉 ,  韩心慧 ,  郭晋鹏 ,  诸葛建伟 ,  宋程昱 ,  龚晓锐

IPC: G06F21/00 ,  G06F9/44 ,  G06F17/30

Abstract: 本发明公开了一种基于ActiveX组件模拟的网页木马检测方法，其步骤包括：1)构造一个ActiveX组件M，其对象实例m用于模拟目标网页中缺失的组件N；2)编写一个动态链接库钩挂WINDOWS系统中负责组件M创建的API，记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系；3)调用浏览器访问目标网页，当目标网页请求创建缺失的组件N时，由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件；4)解析日志文件，判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件，可以触发网页木马更多的攻击行为；能够得到网页木马在ActiveX组件调用这一层的攻击行为。