專利名稱:分析網(wǎng)頁方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)技術(shù)��,特別涉及一種分析網(wǎng)頁方法和裝置����。
背景技術(shù):
隨著互聯(lián)網(wǎng)時代網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)展���,在為互聯(lián)網(wǎng)用戶提供越來越便利的 服務(wù)的同時也帶了了很多安全性的隱患��。目前����,以經(jīng)濟(jì)利益為驅(qū)動的惡意事 件越來越多,網(wǎng)頁掛馬的形勢也越來越嚴(yán)峻�����。網(wǎng)民中無論家庭用戶���、企業(yè)用 戶還是政府用戶�,都無法區(qū)分出有惡意鏈接或已經(jīng)被掛馬的網(wǎng)站�,被種木馬
病毒��,從而導(dǎo)致郵箱���、銀行����、證券���、IM工具等賬號被盜�,導(dǎo)致直接或間接的 經(jīng)濟(jì)損失��。
目前絕大多數(shù)掛馬的惡意網(wǎng)頁都釆用了腳本加密變形的技術(shù)���,加密后的 網(wǎng)頁無法直接用特征比對的方式來進(jìn)行分析判斷����,因此就不能使用傳統(tǒng)殺毒 軟件分析用戶瀏覽的網(wǎng)頁是否是惡意的。現(xiàn)在針對惡意網(wǎng)頁的分析一般使用 沙箱檢測的方法進(jìn)行行為判斷���,既先下載網(wǎng)頁并將該網(wǎng)頁放在瀏覽器中運(yùn)行����, 然后監(jiān)測瀏覽器的行為��,比如是否有寫入注冊表的動作��,是否有下載運(yùn)行的 動作等來判斷網(wǎng)頁的合法性��。
在實(shí)現(xiàn)本發(fā)明過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題采 用沙箱檢測的方法進(jìn)行分析網(wǎng)頁是否是惡意網(wǎng)頁時�,需要先下載網(wǎng)頁并通 過瀏覽器運(yùn)行該網(wǎng)頁��,根據(jù)瀏覽器的行為判斷網(wǎng)頁是否合法�,因此,不能 即時分析是否是惡意網(wǎng)頁�����。
發(fā)明內(nèi)容
4本發(fā)明實(shí)施例提供了 一種分析網(wǎng)頁方法和裝置,以實(shí)現(xiàn)對網(wǎng)頁是否為惡 意網(wǎng)頁進(jìn)行即時分析��。
本發(fā)明實(shí)施例提供了一種分析網(wǎng)頁方法����,其中包括 將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù); 通過調(diào)用所述輸出函數(shù)�����,輸出所述網(wǎng)頁的內(nèi)容�����; 分析輸出的所述網(wǎng)頁的內(nèi)容�,確定所述網(wǎng)頁是否為惡意網(wǎng)頁����。 本發(fā)明實(shí)施例提供了一種分析網(wǎng)頁裝置,其中包括 處理模塊���,用于將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)��; 輸出模塊�����,用于通過調(diào)用所述輸出函數(shù)���,輸出所述網(wǎng)頁的內(nèi)容���; 分析模塊,用于分析輸出的所述網(wǎng)頁的內(nèi)容����,確定所述網(wǎng)頁是否為惡意 網(wǎng)頁。
由以上技術(shù)方案可知��,本發(fā)明實(shí)施例提供的一種分析網(wǎng)頁方法和裝置����, 通過將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù),通過輸出網(wǎng)頁內(nèi)容并分 析����,確定該網(wǎng)頁是否是惡意網(wǎng)頁,實(shí)現(xiàn)了對網(wǎng)頁是否為惡意網(wǎng)頁的即時分析。
圖1為本發(fā)明分析網(wǎng)頁方法實(shí)施例一流程圖���; 圖2為本發(fā)明分析網(wǎng)頁方法實(shí)施例二流程圖�����; 圖3為本發(fā)明分析網(wǎng)頁方法實(shí)施例三流程圖��; 圖4為本發(fā)明分析網(wǎng)頁裝置實(shí)施例一結(jié)構(gòu)示意圖�; 圖5為本發(fā)明分析網(wǎng)頁裝置實(shí)施例二結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
下面通過具體實(shí)施例并結(jié)合附圖對本發(fā)明做進(jìn)一步的詳細(xì)描述。 圖1為本發(fā)明分析網(wǎng)頁方法實(shí)施例一流程圖���。如圖1所示�,本發(fā)明實(shí)施 例提供了一種分析網(wǎng)頁方法���,該方法包括步驟IOO��、將欲分析的網(wǎng)頁中的逸行函數(shù)替換為輸出函數(shù); 步驟IOI��、通過調(diào)用輸出函數(shù)�,輸出網(wǎng)頁的內(nèi)容; 步驟102、分析輸出的網(wǎng)頁的內(nèi)容����,確定網(wǎng)頁是否為惡意網(wǎng)頁。 由以上技術(shù)方案可知����,本發(fā)明實(shí)施例提供的分析網(wǎng)頁方法,通過將欲分 析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)���,并由輸出函數(shù)將該網(wǎng)頁的內(nèi)容輸出 并最終分析該網(wǎng)頁是否是惡意網(wǎng)頁��。本發(fā)明實(shí)施例提供的分析網(wǎng)頁方法無需 通過瀏覽器運(yùn)行該網(wǎng)頁來進(jìn)行行為判斷�,實(shí)現(xiàn)了即時分析網(wǎng)頁是否是惡意網(wǎng) 頁����。
圖2為本發(fā)明分析網(wǎng)頁方法實(shí)施例二流程圖。本實(shí)施例的網(wǎng)頁采用腳本 加密����,如圖2所示,本發(fā)明實(shí)����,例提供了一種分析網(wǎng)頁方法,該方法包括
步驟200、采用字符串替換的方式將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為 輸出函數(shù)����。
現(xiàn)有技術(shù)中將加密后的網(wǎng)頁通過解析器解密,解密后的網(wǎng)頁就通過瀏覽 器直接運(yùn)行�。而本發(fā)明實(shí)施例僅想得到腳本加密的網(wǎng)頁解密后的內(nèi)容,只是 希望將網(wǎng)頁解密后的內(nèi)容輸出而不是將網(wǎng)頁中的內(nèi)容在瀏覽器中運(yùn)行��。經(jīng)過 分析發(fā)現(xiàn)�����,網(wǎng)頁如果能在瀏覽器中運(yùn)行��,那么至少需要一個關(guān)鍵的腳本運(yùn)行 函數(shù)�,該運(yùn)行函數(shù)用于將網(wǎng)頁傳遞到瀏覽器中解密運(yùn)行。因此通過步驟200 將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為自定義的擁有輸出功能的輸出函數(shù)��,例 如���,可以通過函數(shù)劫持的方法將運(yùn)行函數(shù)替換為輸出函數(shù)��,即用字符串替換 的方式將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)�。也就是說����,通過將運(yùn) 行函數(shù)替換為輸出函數(shù),網(wǎng)頁解密后就由輸出函數(shù)將解密后的網(wǎng)頁的內(nèi)容輸 出���,而不是將解密后的網(wǎng)頁的內(nèi)容發(fā)送到瀏覽器中運(yùn)行�����。
步驟201���、加載解析器。
對于采用腳本語言加密的網(wǎng)頁和通常接觸的數(shù)據(jù)加密技術(shù)不同���,腳本語 言是一種解釋語言�����,解密的代碼和加密密鑰都是以明文形式存在于網(wǎng)頁里面���, 也就是說解密函數(shù)是已經(jīng)存在于腳本加密的網(wǎng)頁中,該解密函數(shù)可以輕易的獲得���。在具體實(shí)現(xiàn)過程中���,在用戶在瀏覽器中輸入網(wǎng)址時����,瀏覽器將獲得用 戶指定的網(wǎng)頁信息�����,通過分析確定用戶指定要瀏覽的網(wǎng)頁是否是通it^本力口 密的網(wǎng)頁����,如果網(wǎng)頁是通過腳本加密的,則加載解析器�����。其中�����,步驟201也 可以在步驟200之前執(zhí)行�,本發(fā)明實(shí)施例對步驟200和步驟201的執(zhí)行順序 不^故限制。
步驟202����、采用解析器對欲分析的網(wǎng)頁進(jìn)行解密��。
具體為����,將通過字符串方式替換處理過的網(wǎng)頁放入解析器中運(yùn)行解密���, 解析器可以調(diào)用腳本加密的網(wǎng)頁中自帶的解密函數(shù)對該網(wǎng)頁自身進(jìn)行解密。 在運(yùn)行解密的過程中�����,當(dāng)解析器調(diào)用運(yùn)行函數(shù)時���,轉(zhuǎn)為調(diào)用輸出函數(shù)��。也就 是說��,經(jīng)過字符串替換處理過的網(wǎng)頁�����,在解析器運(yùn)行過程中����,不再調(diào)用運(yùn)行 函數(shù),而是調(diào)用輸出函數(shù)��,將解析器解密后的網(wǎng)頁的內(nèi)容輸出�����。在解析器解 密腳本加密的網(wǎng)頁時���,由于不再調(diào)用運(yùn)行函數(shù)���,解密后的網(wǎng)頁就不會被送到 瀏覽器中運(yùn)行。
步驟203����、通過特征比對的方法分析輸出的網(wǎng)頁的內(nèi)容,確定網(wǎng)頁是否 為惡意網(wǎng)頁����。
具體為,輸出的網(wǎng)頁的內(nèi)容通過解析器解密后����,可以通過特征比對的方 法,將解密后輸出的網(wǎng)頁內(nèi)容進(jìn)行特征比對分析,如果解密后輸出的網(wǎng)頁內(nèi) 容中含有惡意代碼��,就確認(rèn)該網(wǎng)頁就是惡意網(wǎng)頁����,則阻止用戶瀏覽該網(wǎng)頁。 也就是說��,可以通過特征比對的方法分析由輸出函數(shù)輸出的解密的網(wǎng)頁內(nèi)容 是否有惡意代碼從而判斷網(wǎng)頁是否是惡意網(wǎng)頁����,如果網(wǎng)頁是惡意網(wǎng)頁��,則阻 止用戶瀏覽該網(wǎng)頁�����;如果網(wǎng)頁不是惡意網(wǎng)頁���,則允許用戶瀏覽該網(wǎng)頁����。阻止 用戶瀏覽的方法可以是通過網(wǎng)關(guān)或軟件將傳輸?shù)臄?shù)據(jù)流截斷�;或者通過以彈 出警告信息的形式,提醒用戶網(wǎng)頁是惡意網(wǎng)頁�。
下面以JavaScript腳本語言加密的網(wǎng)頁為例�,對本發(fā)明實(shí)施例作進(jìn)一步 的解釋����。其中eval()、 document, wr i te ()為腳本加密的網(wǎng)頁的運(yùn)4亍函數(shù)�,用 于將用戶指定要瀏覽的網(wǎng)頁發(fā)送到瀏覽器中運(yùn)行,函數(shù)myout()是自定義的輸出函數(shù)����,用于輸出解密后的網(wǎng)頁內(nèi)容。首先�����,獲取用戶要瀏覽的網(wǎng)頁���,如
果該網(wǎng)頁是通過腳本加密����,則加載解析器用于解密該網(wǎng)頁�;其次,如果在網(wǎng) 頁中查找到上述兩個運(yùn)行函數(shù)eval () ���、 document, write ()�����,則使用字符串替 換方式替換為myout()輸出函數(shù)����;然后再將通過字符串替換方式處理過的網(wǎng) 頁放在JavaScript腳本解析器(采用開源的spidermonkey解析器)中運(yùn)行解 密。在解析器的解密過程中�����,當(dāng)運(yùn)行到調(diào)用運(yùn)行函數(shù)時��,轉(zhuǎn)為調(diào)用myout() 輸出函數(shù)����,既將解密后的網(wǎng)頁內(nèi)容以參數(shù)形式傳遞給myout()輸出函數(shù)��,而 不是傳遞給eval()����、 document, write ()運(yùn)行函數(shù)。解析器通過調(diào)用網(wǎng)頁自帶 的解密函數(shù)解密運(yùn)行完畢后��,通過myout()輸出函數(shù)輸出的內(nèi)容就是解密后 的網(wǎng)頁內(nèi)容;最后�����,通過特征比對的方法分析通過myout()輸出函數(shù)輸出的 解密后的網(wǎng)頁內(nèi)容是否是惡意網(wǎng)頁����,如果是惡意網(wǎng)頁,則阻止用戶瀏覽該網(wǎng) 頁�����;如果網(wǎng)頁不是惡意網(wǎng)頁�,則允許用戶瀏覽該網(wǎng)頁。
本發(fā)明實(shí)施例一提供的方法可以應(yīng)用在終端軟件上��,在瀏覽器中安裝 能夠?qū)崿F(xiàn)上述網(wǎng)頁分析方法的插件��。當(dāng)用戶通過瀏覽器上網(wǎng)瀏覽網(wǎng)頁時���, 通過本實(shí)施例所提供的方法判斷所瀏覽的網(wǎng)頁中是否有惡意代碼����,如果有 惡意代碼�����,則攔截屏蔽該網(wǎng)頁,阻止用戶瀏覽�。
本發(fā)明實(shí)施例提供的分析網(wǎng)頁方法,通過將欲分析的網(wǎng)頁中的運(yùn)行函 數(shù)替換為輸出函數(shù)��,并利用解析器解密處理后的網(wǎng)頁�����,在分析網(wǎng)頁的過程中 無需瀏覽器運(yùn)行網(wǎng)頁并根據(jù)瀏覽器的行為來判斷網(wǎng)頁是否是惡意網(wǎng)頁����,解決 了利用沙箱檢測技術(shù)產(chǎn)生的需要將網(wǎng)頁下載并運(yùn)行問題,實(shí)現(xiàn)了即時分析 網(wǎng)頁是否是惡意網(wǎng)頁的功能����。同時���,通過解析器調(diào)用網(wǎng)頁自帶的解密函數(shù) 解密腳本加密的網(wǎng)頁�����,解決了對腳本語言加密后的網(wǎng)頁進(jìn)行解密的問題�����, 實(shí)現(xiàn)了利用解析器去解密腳本加密的網(wǎng)頁�����,使網(wǎng)頁解密過程更加簡單����。
圖3為本發(fā)明分析網(wǎng)頁方法實(shí)施例三流程圖。本實(shí)施例的網(wǎng)頁以采用 腳本加密的網(wǎng)頁為例����,如圖3所示,該方法可以應(yīng)用于大規(guī)模的分析平臺 上�����,可以對分析平臺中保存的大量預(yù)分析的網(wǎng)頁進(jìn)行分析���,具體步驟包括步驟300�����、加載解析器�。
步驟301、采用字符串替換的方式將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為 輸出函數(shù)�����。
對分析平臺中的欲分析的網(wǎng)頁通過字符串替換的方式����,將每個網(wǎng)頁中的 運(yùn)行函數(shù)替換為輸出函數(shù),以便通過輸出函數(shù)輸出網(wǎng)頁的內(nèi)容���。其中�,本實(shí) 施例對步驟300和步驟301的先后順序不做限制�����。
步驟302����、將欲分析的網(wǎng)頁放入解析器中運(yùn)行,解析器調(diào)用欲分析的網(wǎng) 頁自帶的解密函數(shù)對欲分析的網(wǎng)頁解密�。
每個網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)后����,將這些網(wǎng)頁放入解析器中運(yùn) 行解密��,并通過調(diào)用輸出函數(shù)輸出解密后的網(wǎng)頁內(nèi)容�����。
步驟303�����、通過特征比對的方法分析解密后輸出的網(wǎng)頁的內(nèi)容�,確定網(wǎng) 頁是否為惡意網(wǎng)頁����。
通過特征比對的方法,分析由輸出函數(shù)輸出的解密后的網(wǎng)頁的內(nèi)容���。如 果網(wǎng)頁是惡意網(wǎng)頁����,則阻止用戶瀏覽該網(wǎng)頁�;如果網(wǎng)頁不是惡意網(wǎng)頁,則允 許用戶瀏覽�。
步驟304、保存惡意網(wǎng)頁的鏈接���。
由于大規(guī)模的分析平臺可以分析大量的網(wǎng)頁����,利用解析器對這些網(wǎng)頁進(jìn) 行解密后,通過特征比對對解密后的網(wǎng)頁進(jìn)行分析判斷�。如果網(wǎng)頁是惡意網(wǎng) 頁,則將該網(wǎng)頁的網(wǎng)頁鏈接保存��,最終形成一個包括大批量的惡意網(wǎng)頁鏈接 的庫文件��。該庫文件可以作為判斷網(wǎng)頁是否是惡意網(wǎng)頁的依據(jù)����。當(dāng)用戶瀏覽 網(wǎng)頁時,如果用戶瀏覽的網(wǎng)頁鏈接為庫文件中保存的網(wǎng)頁鏈接�����,則阻止用戶 瀏覽該網(wǎng)頁���。該庫文件可以提供給安全網(wǎng)關(guān)�����、防火墻和UTM等設(shè)備�,用于即 時攔截或統(tǒng)計�����,最終阻止用戶瀏覽庫中保存的惡意網(wǎng)頁鏈接�。
本發(fā)明實(shí)施例提供的分析網(wǎng)頁方法,在大規(guī)模分析平臺對大批量網(wǎng)頁 進(jìn)行檢查時�����,實(shí)現(xiàn)了對網(wǎng)頁進(jìn)行即時分析�����。同時�����,將全部的惡意網(wǎng)頁鏈接 保存�,在檢測過程中,對于已經(jīng)保存的惡意網(wǎng)頁鏈接無需再進(jìn)行檢測����,可以方便對用戶瀏覽的網(wǎng)頁進(jìn)行檢查鑒別。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步 驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機(jī) 可讀取存儲介質(zhì)中�,該程序在執(zhí)行時,執(zhí)行包括上述方法實(shí)施例的步驟����; 而前述的存儲介質(zhì)包括ROM、 RAM��、磁碟或者光盤等各種可以存儲程 序代碼的介質(zhì)����。
圖4為本發(fā)明分析網(wǎng)頁裝置實(shí)施例一結(jié)構(gòu)示意圖。如圖4所示�,本發(fā)明
實(shí)施例提供的一種分析網(wǎng)頁裝置,該裝置包括
處理模塊1 �����,用于將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)����。 其中,處理模塊1查找出網(wǎng)頁中的運(yùn)行函數(shù)��,并用字符串替換的方式�����,
將該網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)。
輸出模塊2����,用于通過調(diào)用輸出函數(shù)���,輸出網(wǎng)頁的內(nèi)容���。
其中,輸出模塊2接收到處理模塊1處理過的網(wǎng)頁后�����,對網(wǎng)頁進(jìn)行分析����。
當(dāng)輸出模塊2運(yùn)行到調(diào)用運(yùn)行函數(shù)的位置時,轉(zhuǎn)為調(diào)用輸出函數(shù)��,即將網(wǎng)頁
以參數(shù)的形式傳遞給輸出函數(shù)���,并由輸出函數(shù)輸出網(wǎng)頁的內(nèi)容�。
分析模塊3,用于分析輸出的網(wǎng)頁的內(nèi)容����,確定網(wǎng)頁是否為惡意網(wǎng)頁。 其中�����,分析模塊3通過特征比對的方法分析輸出模塊2輸出的網(wǎng)頁的內(nèi)
容�,如果網(wǎng)頁中含有惡意代碼,則認(rèn)定該網(wǎng)頁為惡意網(wǎng)頁�,阻止用戶瀏覽該網(wǎng)頁。
本發(fā)明實(shí)施例提供的分析網(wǎng)頁裝置��,通過處理模塊將網(wǎng)頁中的運(yùn)行函 數(shù)替換為輸出函數(shù)����,在分析網(wǎng)頁的過程中,無需將網(wǎng)頁放入瀏覽器中運(yùn)行����, 根據(jù)瀏覽器的行為來判斷該網(wǎng)頁是否是惡意網(wǎng)頁,解決了利用沙箱檢測技 術(shù)需要先下載并運(yùn)行網(wǎng)頁不能即時分析網(wǎng)頁的問題�����,實(shí)現(xiàn)了即時分析網(wǎng)頁 是否是惡意網(wǎng)頁的功能。
圖5為本發(fā)明分析網(wǎng)頁裝置實(shí)施例二結(jié)構(gòu)示意圖�。如圖5所述,本實(shí)施 例可以以上述分析網(wǎng)頁裝置實(shí)施例一為基礎(chǔ)��,其區(qū)別在于����,輸出模塊2可以包括加載模塊21,用于加載解析器;解密模塊22,用于采用解析器對欲分 析的網(wǎng)頁進(jìn)行解密�;輸出子模塊23,用于調(diào)用輸出函數(shù)輸出解密后的網(wǎng)頁的 內(nèi)容����。
該分析網(wǎng)頁裝置還可以包括存儲模塊4,用于保存惡意網(wǎng)頁的鏈接���。 在分析網(wǎng)頁的過程中�����,處理模塊1將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為 輸出函數(shù)����;加載模塊21則加載解析器�,用于對處理模塊1處理過的欲分析的 網(wǎng)頁進(jìn)行解密�����;解密模塊22通過調(diào)用加載模塊21加載的解析器����,由解析器 利用欲分析的網(wǎng)頁本身自帶的解密函數(shù)解密該網(wǎng)頁��;輸出子模塊23則將解密 模塊22解密后的網(wǎng)頁內(nèi)容通過調(diào)用輸出函數(shù)將其輸出給分析模塊3�����。分析模 塊3通過特征比對的方法分析輸出子模塊2 3輸出的網(wǎng)頁的內(nèi)容�����,確定該網(wǎng)頁 是否是惡意網(wǎng)頁�,如果該網(wǎng)頁是惡意網(wǎng)頁,則阻止用戶瀏覽����。存儲模塊4將 分析模塊3確認(rèn)的所有惡意網(wǎng)頁的鏈接保存,最終形成一個包括大批量的惡 意網(wǎng)頁鏈接的庫文件�。該庫文件可以作為判斷網(wǎng)頁是否是惡意網(wǎng)頁的依據(jù)。 當(dāng)用戶瀏覽網(wǎng)頁時����,如果用戶瀏覽的網(wǎng)頁鏈接為庫文件中保存的網(wǎng)頁鏈接�, 則阻止用戶瀏覽該網(wǎng)頁�����。
本發(fā)明實(shí)施例提供的分析網(wǎng)頁裝置����,通過設(shè)置加載模塊,可以通過解 析器解密腳本加密的網(wǎng)頁�;通過將設(shè)置存儲模塊,實(shí)現(xiàn)在大規(guī)模分析平臺 中保存所有惡意網(wǎng)頁鏈接�����,在檢測過程中����,對于已經(jīng)保存的惡意網(wǎng)頁鏈接 無需再進(jìn)行檢測����,可以方便對用戶瀏覽的網(wǎng)頁進(jìn)行檢查鑒別。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其 限制��;盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�����,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改����,或 者對其中部分技術(shù)特征進(jìn)行等同替換��;而這些修改或者替換���,并不使相應(yīng)技
術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍����。
權(quán)利要求
1���、一種分析網(wǎng)頁方法����,其特征在于�����,包括將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù);通過調(diào)用所述輸出函數(shù)�,輸出所述網(wǎng)頁的內(nèi)容;分析輸出的所述網(wǎng)頁的內(nèi)容�,確定所述網(wǎng)頁是否為惡意網(wǎng)頁。
2��、 根據(jù)權(quán)利要求1所述的方法����,其特征在于 所述欲分析的網(wǎng)頁為采用腳本加密的網(wǎng)頁; 所述通過調(diào)用所述輸出函數(shù)�,輸出所述網(wǎng)頁的內(nèi)容包括 加載解析器,采用所述解析器對所述欲分析的網(wǎng)頁進(jìn)行解密����,調(diào)用所述輸出函數(shù)輸出解密后的所述網(wǎng)頁的內(nèi)容。
3�����、 根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述將欲分析的網(wǎng)頁中 的運(yùn)行函數(shù)替換為輸出函數(shù)包括函數(shù)���。
4���、 根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述采用所述解析器對 所述欲分析的網(wǎng)頁進(jìn)行解密包括將所述欲分析的網(wǎng)頁放入所述解析器中運(yùn)行,所述解析器調(diào)用所述欲分析的網(wǎng)頁自帶的解密函數(shù)對所述欲分析的網(wǎng)頁解密���。
5���、 根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述分析輸出的所述網(wǎng) 頁的內(nèi)容,確定所述網(wǎng)頁是否為惡意網(wǎng)頁�����,包括通過特征比對的方法分析輸出的所述網(wǎng)頁的內(nèi)容�����,確定所述網(wǎng)頁是否為 惡意網(wǎng)頁。
6�����、 根據(jù)權(quán)利要求1所述的方法��,其特征在于����,如果所述網(wǎng)頁確定是惡 意網(wǎng)頁,所述方法還包括保存所述惡意網(wǎng)頁的鏈接����。
7、 一種分析網(wǎng)頁裝置���,其特征在于�,包括處理模塊�,用于將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù); 輸出模塊�����,用于通過調(diào)用所述輸出函數(shù)�,輸出所述網(wǎng)頁的內(nèi)容; 分析模塊���,用于分析輸出的所述網(wǎng)頁的內(nèi)容����,確定所述網(wǎng)頁是否為惡意 網(wǎng)頁�。
8、 根據(jù)權(quán)利要求7所述的裝置���,其特征在于���,所述輸出模塊包括 加栽模塊,用于加載解析器����;解密模塊,用于采用所述解析器對所述欲分析的網(wǎng)頁進(jìn)行解密��; 輸出子模塊��,用于調(diào)用所述輸出函數(shù)輸出解密后的所述網(wǎng)頁的內(nèi)容���。
9����、 根據(jù)權(quán)利要求7所述的裝置,其特征在于��,還包括 存儲模塊��,用于保存所述惡意網(wǎng)頁的鏈接�。
全文摘要
本發(fā)明實(shí)施例提供了一種分析網(wǎng)頁方法和裝置。該方法包括將欲分析的網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)�����;通過調(diào)用所述輸出函數(shù)��,輸出所述網(wǎng)頁的內(nèi)容���;分析輸出的所述網(wǎng)頁的內(nèi)容���,確定所述網(wǎng)頁是否為惡意網(wǎng)頁。通過將網(wǎng)頁中的運(yùn)行函數(shù)替換為輸出函數(shù)進(jìn)行解密���,實(shí)現(xiàn)了即時分析網(wǎng)頁是否是惡意網(wǎng)頁���。
文檔編號G06F17/30GK101620620SQ20091009077
公開日2010年1月6日 申請日期2009年8月6日 優(yōu)先權(quán)日2009年8月6日
發(fā)明者王新穎 申請人:成都市華為賽門鐵克科技有限公司