�,其具有和/或包括射頻接收器的常規(guī)膝上型和/或掌上型計(jì)算機(jī)或其他設(shè)備。這里所使用的“終端”�����、“終端設(shè)備”可以是便攜式����、可運(yùn)輸、安裝在交通工具(航空��、海運(yùn)和/或陸地)中的��,或者適合于和/或配置為在本地運(yùn)行�,和/或以分布形式,運(yùn)行在地球和/或空間的任何其他位置運(yùn)行�����。這里所使用的“終端”�����、“終端設(shè)備”還可以是通信終端、上網(wǎng)終端��、音樂/視頻播放終端��,例如可以是PDA�����、MID(Mobile Internet Device���,移動互聯(lián)網(wǎng)設(shè)備)和/或具有音樂/視頻播放功能的移動電話�����,也可以是智能電視�����、機(jī)頂盒等設(shè)備���。
[0053]本技術(shù)領(lǐng)域技術(shù)人員可以理解��,這里所使用的服務(wù)器、云端�、遠(yuǎn)端網(wǎng)絡(luò)設(shè)備等概念,具有等同效果���,其包括但不限于計(jì)算機(jī)�、網(wǎng)絡(luò)主機(jī)�����、單個(gè)網(wǎng)絡(luò)服務(wù)器���、多個(gè)網(wǎng)絡(luò)服務(wù)器集或多個(gè)服務(wù)器構(gòu)成的云���。在此,云由基于云計(jì)算(Cloud Computing)的大量計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器構(gòu)成���,其中����,云計(jì)算是分布式計(jì)算的一種����,由一群松散耦合的計(jì)算機(jī)集組成的一個(gè)超級虛擬計(jì)算機(jī)���。本發(fā)明的實(shí)施例中,遠(yuǎn)端網(wǎng)絡(luò)設(shè)備����、終端設(shè)備與WNS服務(wù)器之間可通過任何通信方式實(shí)現(xiàn)通信,包括但不限于��,基于3GPP�、LTE、WIMAX的移動通信�、基于TCP/IP、UDP協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)通信以及基于藍(lán)牙�、紅外傳輸標(biāo)準(zhǔn)的近距無線傳輸方式。
[0054]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�����,本發(fā)明所稱的“應(yīng)用”��、“應(yīng)用程序”�、“應(yīng)用軟件”以及類似表述的概念,是業(yè)內(nèi)技術(shù)人員所公知的相同概念����,是指由一系列計(jì)算機(jī)指令及相關(guān)數(shù)據(jù)資源有機(jī)構(gòu)造的適于電子運(yùn)行的計(jì)算機(jī)軟件����。除非特別指定���,這種命名本身不受編程語言種類、級別��,也不受其賴以運(yùn)行的操作系統(tǒng)或平臺所限制����。理所當(dāng)然地,此類概念也不受任何形式的終端所限制��。
[0055]如圖1所示���,根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站惡意程序檢測方法包括:
[0056]SI�,獲取目標(biāo)網(wǎng)站的網(wǎng)頁文件�����;
[0057]獲取操作可以由用戶(例如網(wǎng)站管理員)通過圖形用戶界面完成���,圖形用戶界面中除了包括可供用戶指定的目標(biāo)網(wǎng)站�,還可以為用戶提供具體網(wǎng)站中待檢測的網(wǎng)頁文件,使得用戶可以根據(jù)需要選擇相應(yīng)的網(wǎng)站�����,以及具體的網(wǎng)頁文件���,更進(jìn)一步地���,還可以為用戶提供具體的檢測區(qū)域、檢測位置�、檢測路徑等,例如用戶可以通過用戶圖形界面指定對目標(biāo)網(wǎng)站的服務(wù)器中全盤文件進(jìn)行檢測����,也可以指定僅檢測備份區(qū)域的文件,亦或僅對某個(gè)文件進(jìn)行檢測�����,從而實(shí)現(xiàn)針對性地檢測�。
[0058]S2,根據(jù)惡意程序特征庫對網(wǎng)頁文件中的源代碼進(jìn)行檢測���,識別出網(wǎng)頁文件中的疑似惡意代碼���;
[0059]惡意代碼的添加����,主要是針對網(wǎng)頁文件的源代碼進(jìn)行的�����,例如黑客在網(wǎng)站植入后門(當(dāng)然�����,惡意代碼包括并不僅限于后門�����,還可以是木馬等電腦病毒)時(shí)����,利用欺騙的手段����,向網(wǎng)站管理員發(fā)送電子郵件或者文件,當(dāng)管理員打開或運(yùn)行該郵件或文件時(shí),郵件或文件中的程序就會修改網(wǎng)頁文件中的源代碼����,從而在網(wǎng)站的服務(wù)器上創(chuàng)建一個(gè)后門。
[0060]對網(wǎng)頁文件的源代碼進(jìn)行檢測����,可以從惡意程序特征庫中提取惡意程序模板對網(wǎng)頁文件中的源代碼進(jìn)行匹配,將匹配度大于預(yù)設(shè)匹配值的代碼判定為疑似惡意代碼��。
[0061]S3��,將疑似惡意代碼和/或網(wǎng)頁文件傳輸至預(yù)設(shè)服務(wù)器�,以使預(yù)設(shè)服務(wù)器判斷疑似惡意代碼是否為惡意代碼;
[0062]優(yōu)選地���,預(yù)設(shè)服務(wù)器可以是云端服務(wù)器�����,其運(yùn)算處理能力較強(qiáng)��,并可包含多個(gè)引擎對疑似惡意代碼進(jìn)行檢測�����,一方面能夠減少網(wǎng)站所在服務(wù)器的運(yùn)算處理壓力����,另一方面能夠提高惡意代碼的判斷準(zhǔn)確度。
[0063]預(yù)設(shè)服務(wù)器除了能夠判斷疑似惡意代碼是否為惡意代碼�,還可以直接對接收到的網(wǎng)頁文件進(jìn)行檢測,識別其中的疑似惡意代碼�,從而完全執(zhí)行惡意代碼判斷的全部操作,進(jìn)一步減少網(wǎng)站所在服務(wù)器的運(yùn)算處理壓力�。
[0064]S4,獲取預(yù)設(shè)服務(wù)器返回的疑似惡意代碼判斷結(jié)果。
[0065]優(yōu)選地�����,除了返回判斷結(jié)果��,還可以生成相應(yīng)的提示信息并返回����。
[0066]優(yōu)選地����,還包括:
[0067]根據(jù)判斷結(jié)果生成提示信息,以提示目標(biāo)網(wǎng)站是否包含存在惡意代碼的網(wǎng)頁文件�����。
[0068]提示信息與判斷結(jié)果相關(guān),例如判定網(wǎng)頁文件中存在多處惡意代碼��,則提示存在惡意代碼�,且安全系數(shù)很低,并標(biāo)明惡意代碼����,若判定網(wǎng)頁文件中存在一處惡意代碼,則提示存在惡意代碼����,且安全系數(shù)較低,并標(biāo)明惡意代碼����。當(dāng)然,提示信息除了包含上述提示內(nèi)容�����,還可以包含其他內(nèi)容�����,例如提示惡意代碼的具體數(shù)目,以及惡意代碼的具體內(nèi)容等��。
[0069]優(yōu)選地����,若判定疑似惡意代碼為惡意代碼,則方法還包括:
[0070]根據(jù)接收到的第一指令將惡意代碼添加至白名單��,以使被添加至白名單的代碼在再次檢測源代碼時(shí)被識別為非惡意代碼����;
[0071]或
[0072]根據(jù)接收到的第二指令將惡意代碼添加至黑名單,以使被添加至黑名單的代碼在再次檢測源代碼時(shí)被識別為惡意代碼���。
[0073]作為一個(gè)示例��,惡意代碼包括但不限于后門程序,而后門程序主要分為兩種��,一種是網(wǎng)站管理員在網(wǎng)站開發(fā)過程中引入的�����,網(wǎng)站管理員可以通過這些后門對網(wǎng)站進(jìn)行測試或者修改程序中的缺陷(以下簡稱為第一種后門程序)�,另一種是攻擊者通過非法途徑植入網(wǎng)站的(以下簡稱為第二種后門程序)�。
[0074]上述兩種后門程序���,在檢測過程中并無實(shí)質(zhì)差異�����,所以都會被判定為惡意代碼�,但是對于第一種后門程序���,由于是網(wǎng)站管理員引入的���,當(dāng)被判定為惡意代碼提示時(shí),所以網(wǎng)站管理員能夠?qū)ζ溥M(jìn)行識別��,從而將其添加至白名單�����,當(dāng)再次對網(wǎng)頁源代碼進(jìn)行檢測時(shí)�,對于白名單中的代碼可判定其為網(wǎng)站管理員引入的后門程序,從而直接跳過該段代碼���,無需對其進(jìn)行進(jìn)一步檢測�����。對于第二種后門程序�,當(dāng)被判定為惡意代碼提示時(shí),網(wǎng)站管理員可以為其添加至黑名單�,當(dāng)再次對網(wǎng)頁源代碼進(jìn)行檢測時(shí),對于黑名單中的代碼可判定其為惡意的后門程序���,從而直接對其進(jìn)行提示�����,無需對其進(jìn)行進(jìn)一步檢測���。
[0075]通過上述兩種標(biāo)識操作,都可以減少對網(wǎng)頁文件源代碼的重復(fù)檢測�����,從而減少資源消耗���,并且可以快速判定網(wǎng)頁文件中的惡意代碼類型,進(jìn)行快速且準(zhǔn)確地提示�����。
[0076]優(yōu)選地,識別出網(wǎng)頁文件中的疑似惡意代碼還包括:
[0077]查詢訪問疑似惡意代碼并將疑似惡意代碼添加至白名單的用戶數(shù)目��,若用戶數(shù)目大于預(yù)設(shè)數(shù)目����,則將疑似惡意代碼判定為非惡意代碼進(jìn)行提示。
[0078]當(dāng)超過預(yù)設(shè)數(shù)目的用戶將疑似惡意代碼添加至白名單時(shí)�����,則可以初步判定該疑似惡意代碼的可信度較高���,將該疑似惡意代碼作為非惡意代碼提示給網(wǎng)站管理員進(jìn)行具體判另IJ��,以減少上傳至預(yù)設(shè)服務(wù)器進(jìn)行進(jìn)一步檢測的過程�����,提高疑似惡意代碼的檢測效率���。
[0079]優(yōu)選地,當(dāng)某段疑似惡意代碼被網(wǎng)站管理員訪問的次數(shù)大于預(yù)設(shè)次數(shù)����,則可以初步判定其為網(wǎng)站管理員引入的��,用于通過其進(jìn)行測試或者修改程序中的缺陷�,然后對初步判定結(jié)果進(jìn)行提示�����,以減少上傳至預(yù)設(shè)服務(wù)器進(jìn)行進(jìn)一步檢測的過程�,提高疑似惡意代碼的檢測效率。
[0080]進(jìn)一步地����,本發(fā)明還提出的一種惡意程序刪除方法,可以針對檢測到的惡意程序進(jìn)行有效刪除��。例如對于網(wǎng)頁圖片中存在的惡意程序�,可以通過獲取網(wǎng)頁文件中的圖片,檢測圖片中是否嵌入惡意程序��,如果圖片中存在惡意程序���,則獲取圖片中惡意程序的位置����,并利用填充字符對惡意程序進(jìn)行替換�,從而,及時(shí)檢測出網(wǎng)站中圖片的惡意程序���,可對其進(jìn)行有效的處理���,不僅減少了給網(wǎng)站帶來的危害的幾率,同時(shí)提高了網(wǎng)站的安全等級�。
[0081]為了更好地理解與應(yīng)用上述刪除方法,本發(fā)明針對網(wǎng)頁中JPEG格式圖片進(jìn)行檢測以及查殺惡意程序的具體問題進(jìn)行示例���,但本發(fā)明不僅局限以下示例����。
[0082]JPEG圖像漏洞主要涉及操作系統(tǒng)中一個(gè)名為GdiPlus.dll的文件��,由于眾多軟件都調(diào)用了這個(gè)動態(tài)鏈接庫處理JPEG圖片����,使得該漏洞的涉及面非常廣。例如����,Windows XPSPUMS 0ffice�����、QQ2004等���。入侵者可以將惡意程序通過這個(gè)漏洞原理來插入到圖片中,這樣存在此漏洞的惡意程序會無條件運(yùn)行圖片中的惡意程序����,從而控制受影響的系統(tǒng)。
[0083]從上述所述的JPEG圖像的漏洞原理�����,我們可以看出該漏洞使入侵者的入侵手法有了很大的發(fā)揮余地����,例如,入侵者可以在圖片中插入木馬后門等惡意程序��,使瀏覽者在打開圖片的同時(shí)木馬后門等惡意程序已悄悄運(yùn)行�����,或者在圖片中插入一些第三方連接程序,將修改過的圖片作為類似木馬服務(wù)器進(jìn)行設(shè)置�,連接這個(gè)圖片即可連接后門等惡意程序。
[0084]具體地����,將木馬后門等惡意程序插入到圖片中�����,這樣瀏覽者只要一打開含有圖片的網(wǎng)頁�、郵件等,就會自動打開圖片��,同時(shí)也就運(yùn)行了木馬后門等惡意程序���,這是最典型的漏洞利用方法�����。例如���,利用一款工具:JPEG Downloader,它能有效地幫我們將木馬