一種基于Google的惡意網頁防御技術

黃若衡 謝耀濱

1 上海直真視通科技有限公司 上海 200233

2 信息工程大學 河南 450002

0 引言

隨著計算機網絡的普及，網絡信息安全問題也日益凸顯。網絡攻擊越來越頻繁、惡意代碼愈加肆意，客戶信息甚至計算機系統的安全更加令人擔憂。根據計算機安全組織SANS提供的數據顯示，2007年以來，針對IE瀏覽器的攻擊數量日益激增，已經排到網絡攻擊方式的首位。 此外，在對 4396起網絡攻擊的統計中表明，針對網絡瀏覽等應用的攻擊已經占到了所有攻擊的一般以上。

由此可見，對用戶瀏覽器的安全防護是保護用戶信息安全的一種非常有效的手段。本文實現的惡意網頁防御技術，利用Google的資源，可以對含有惡意代碼的網頁進行報警和攔截，為用戶營造更加安全的上網環境。

1 Google搜索引擎對惡意網頁的檢測

Google搜索引擎內嵌一個惡意網頁檢測功能，當使用Google搜索引擎進行搜索時，Google會對搜索出的可能含有惡意代碼的網頁給出警告。

例如使用 Google搜索“計算機網絡安全”時，會發現Google對URL為：http://www.diqiuren.org/news_view.asp%3F newsid%3D25698，網頁會在搜索的下邊以藍色字體發出如下警告信息“該網站可能含有惡意軟件。有可能會危害您的電腦”，如圖1所示。

圖1 Google搜索網頁時給出的警告提示

點擊網頁鏈接，瀏覽器并不會進入到上述 URL指定的頁面，而是會轉入到“惡意軟件警告”頁面。頁面會醒目的提示到“警告——訪問該網站可能會損害您的計算機！”，如圖2所示。繼續點擊“安全瀏覽診斷網頁”，此時Google會對此網頁近90天的安全情況作以簡要說明。其內容包括此網站當前列表狀態如何，是否被列入惡意網頁；在過去的90天里，Google對此網站的測試結果說明；該網頁是否以媒介身份散發惡意代碼；是否托管了惡意代碼等詳細內容。如圖3所示。

圖2 Google對惡意網頁的警告頁面

圖3 Google對惡意網頁的安全瀏覽診斷頁面

利用Google來檢測惡意網頁，首先惡意網頁會先提交給Google，而不會在本地打開，確保惡意代碼不會下載到本地機器并執行；另外 Google的惡意網址名單的提供者是StopBadware.Org，該組織是一個合作性的網絡社區，同時向Google、AOL、PayPal、趨勢科技(TrendMicro)、聯想(Lenovo)和VeriSign取得研究分析所需的資料，對惡意軟件及其分布進行分析并預測，具有領先的分析技術，可以保證 Google的惡意網址庫的時效性和權威性。

2 基于 Google的惡意網頁防御工具的設計與實現

通過對Google的惡意網頁檢測功能的分析，可以設計出基于Google的惡意網頁防御工具(以下簡稱防御工具)，該工具采用BHO技術實現，當瀏覽器訪問某個網頁時，BHO對象首先會將訪問的網頁提交給Google進行檢測，如果該網頁屬于惡意網頁，則跳轉到Google的安全診斷頁面，如果不是惡意網頁，則跳轉到訪問的頁面。

2.1 BHO的介紹

BHO全稱為Browser Helper Object，即瀏覽器輔助對象，它是微軟推出的作為瀏覽器對第三方程序員開放交互接口的業界標準，用戶通過簡單的代碼就可以進入瀏覽器領域的“交互接口”(Interactived Interface)。通過這個接口，程序員可以寫一個進程內COM對象，這個對象在每次啟動時都要加載。這樣的對象會在與瀏覽器相同的上下文中運行，并能對可用的窗口和模塊執行任何行動。防御工具正是充分利用BHO的這種特性，來實現與瀏覽器的交互。

BHO對象依托于瀏覽器主窗口，一旦一個瀏覽器窗口產生，一個新的 BHO對象實例就要生成。瀏覽器通過注冊表發現一系列的BHO對象，并為之分別建立一個進程中實例，這樣這些對象可以裝載到瀏覽器上下文中并運行起來，而BHO需要建立一個私有的基于COM的通訊通道來鉤住瀏覽器的事件。因此BHO實現一個IObjectWithSite的接口，通過該接口Internet Explorer可以將它的 IUnknown 接口傳遞給BHO，BHO反過來能夠存儲該接口并進一步查詢更專門的接口，如IWebBrowser2、IDispatch和IConnectionPointContainer，如圖4所示，其中BHO site是用于實現通信的COM接口。

圖4 IE與BHO對象的關系圖

2.2 Google惡意網頁檢測功能的查詢和利用

Google對提交檢測的網頁提供兩個在線查詢頁面：

（1）警告網頁

http://www.google.cn/interstitial?url=***

（2）安全診斷網頁

http://www.google.com/safebrowsing/diagnostic?site=***

當訪問某個網頁時，例如URL為“http://www.X.com”，首先導航到http://www.google.cn/interstitial?url=http://www.X.com ，這是Google保存的惡意網頁警告頁面，如果該網頁不是惡意網頁，Google會返回一個“查詢被禁止”的頁面，而不是如圖2所示的警告頁面，見圖5。

圖5 Google對安全網頁的“查詢被禁止”頁面

因此，防御工具在訪問網頁之前先重定向到Google的警告網頁上：如果返回的網頁不是“查詢被禁止”的頁面，說明訪問的網頁是安全的，再二次重定向到該網頁上；如果返回的網頁是警告頁面，則重定向到訪問網頁的安全診斷頁面中。

2.3 用BHO實現惡意網頁防御工具

當用戶在瀏覽器中輸入要訪問的網址時，防御工具首先要獲取此時訪問的URL。BHO對象通過SetSite()方法來初始化，初始化完畢后通過IWebBrowser2接口來獲得WebBrowser對象m_spWebBrowser，就可以使用get_LocationURL函數來獲取當前瀏覽器訪問頁面的URL。代碼如下：

m_spWebBrowser->get_LocationURL(&strURL)；

獲取URL之后，首先重定向到Google的安全警告頁面上， 重定向的時候，我們使用m_spWebBrowser->Navigate()來實現。具體代碼如下：

char* GoogleCheckl="http://www.google.cn/interstitial?url=" ;

//連接兩個char*字符串

char str1[1024];

strcpy(str1,GoogleCheckl);

strcat(str1,strURL);

char* str2=(LPSTR)str1;

WCHAR BUF1[1024]; //將char型轉換為LPCWSTR

swprintf(BUF1, L"%S",str2);

URLsafe = BUF1;

m_spWebBrowser->Navigate(SysAllocString(URLsafe),N ULL,NULL,NULL,NULL);

重定向到Google的安全警告頁面之后，要對該網頁的安全性作判斷。這里只是簡單地判斷返回頁面中是否包含“Forbidden！”，如有，則說明查詢失敗，該網頁是安全的。BHO查詢網頁時必須先獲取到網頁的的HTML文本，而這些都包含在網頁文檔的body對象中。可以通過m_spWebBrowser-> get_Document()函數來獲取網頁文檔對象，再通過IHTMLDocument 2獲取接口指針之后，便可使用spHTML->get_body(&m_pBody)的到body對象。最后通過m_pBody->get_outerHTML (&bstrHTML Text)將頁面的HTML文本保存到bstrHTMLText中，此時便可以在bstrHTMLText中查找“Forbidden！”字符串，用來判斷網頁的安全性，具體代碼不再贅述。

最后還要注意的問題是防御工具對瀏覽器進行了兩次跳轉，而每一次跳轉都會重新執行一次系統代碼，因此當第一次跳轉判斷出網頁的安全信息后，必須區分是第幾次跳轉，否則防御工具會無限次地查詢跳轉網頁的安全信息，可以通過設置跳轉計數位來加以區分。這樣在第二次跳轉的時候，系統不會對警告頁面再次查詢了，比如當輸入“www.X.com”時，第一次跳轉到“www.X.com”的警告頁面“http://www.google.cn/interstitial?url=www.X.com”，第二次不會再跳轉到“http://www.google.cn/interstitial?url=http://www.google.cn/interstitial?url=www.X.com”進行循環查詢了。

3 結論

本文應用基于Google搜索引擎對惡意網頁的檢測，設計一種新的惡意網頁防御技術，充分利用了Google所支持的安全頁面診斷的權威性和實時性，節省了自行開發惡意網址庫的時間，同時也利用Google作為蜜罐，避免本機遭受惡意網頁的攻擊。同樣該技術的不足之處也在于過分依賴 Google搜索引擎，僅僅是被動地利用其安全頁面診斷功能，在下一步的研究中將研究與Google搜索引擎的交互，改進其主動防御的功能。

[1] SANS. SANS Top-20 Internet Security Attack Targets (2007 Annual Update) [EB/OL].2007.http://www.sans.org/top20/.

[2] StopBadware.org惡意軟件網站指南.[EB/OL].2007. http://www.googlechinawebmaster.com/2007/09/stopbadwareorg.html.

[3] 向討厭的惡意軟件說再見.[EB/OL].2008. http://www. google chinablog. com/2008/12/blog-post_12.html.

[4] Browser Helper Objects: The Browser the Way You Want It.[EB/OL].2004.http://msdn.microsoft.com/en-us/library/bb2 50436(VS.85). aspx.

[5] C++中使用 BHO來屏蔽特定網站.[EB/OL].2009.http://www.hacker.com.cn/article/view_15250.html.