基于Referer字段遞歸分析的網頁掛馬檢驗方法研究

徐國天

（中國刑事警察學院，沈陽 110854）

基于Referer字段遞歸分析的網頁掛馬檢驗方法研究

徐國天

（中國刑事警察學院，沈陽 110854）

目的研究網頁掛馬案件的檢驗方法，為有效打擊此類犯罪，維護信息網絡安全提供技術支持。方法在染毒主機端重新瀏覽可疑網頁，使用wireshark捕獲通信數據，借助wireshark提供的文件還原功能從通信數據中還原出所有文件，再利用主流殺毒引擎對這些文件進行病毒掃描，記錄下木馬程序的名稱和下載路徑。之后利用本文的Referer字段遞歸分析方法還原木馬完整的種植過程，找出被掛馬網站和相應的頁面，提取出網頁中被植入的惡意代碼。結果獲得了被掛馬網站的相關信息，準確地定位出惡意代碼的存儲位置，提示網站管理員除去惡意代碼并增強保護措施，從源頭阻斷木馬的傳播途徑。根據黑客種植惡意代碼過程中在被掛馬網站遺留的入侵痕跡，對掛馬網站進行檢驗分析，獲得黑客的相關線索。結論應用本文提出的Referer字段遞歸分析方法可以有效檢驗網頁掛馬類案件，獲取相關線索。

Referer；遞歸分析；網頁掛馬；檢驗；GZIP

網頁掛馬不是一種具體的木馬程序，而是一種傳播木馬的途徑，它是指通過非法手段在網頁源文件中植入惡意代碼，當用戶瀏覽這類站點時，如果其計算機系統存在相應的安全漏洞，那么網頁中的這些惡意代碼就會誘使用戶主機下載并運行相應的木馬程序[1]，從而竊取該計算機的機密信息、篡改重要數據、監聽語音視頻通信，甚至可完全控制該染毒計算機。……