1、“.....测试结果如下漏洞名称是否成功拦截是否成功阻止执行备注成功成功暴风影音成功成功提示对话框未显示新建进程名称迅雷成功成功提示对话框未显示新建进程名称可以看到，进程监控部分能够很好地拦截和阻止木马的运行，但由于缓冲区溢出类漏洞破坏了的堆栈，会出现无法获得木马的名称的问题，在实际应用中，影响不大。过滤插件测试本文将几种挂马代码保存在个文件中，使用下列三条规则正则表达式进行匹配，所有特征代码均被准确识别。匹配规则测试文件测试测试测试测试测试测试测试测试面性，选择了较为底层的函数。通过此函数实现了对所有级别下的进程创建的监控。监控系统还设置了黑白名单......”。

2、“.....黑白名单使用的是匹配完整路径的方法，这样就防止了木马名称为常规程序如时被放行的缺点。程序中还有完整的日志记录，方便用户日后查看。在插件中，我们实现了网页源代码的全文检测，过滤了些常用的挂马代码。同时我们允许用户自定义规则，还可以实现过滤指定关键字，这样用户可以依据自身的网络环境进行个性化配置。应用前景这种双层监控的模式能够实现较好的防护效果，鉴于当前网页木马泛滥的现状，本系统具有较大的用户需求空间。在今后的发展中，还可以建立相关网站，按照网页木马的发展趋势发布最新的过滤规则，为用户提供最及时的保护。试测试测试过滤结果测试测试测试测试测试测试测试，首届全国大学生信息安全竞赛参赛作品测试测试测试测试在测试中......”。

3、“.....但由于当前互联网上网页结构复杂，程序代码尚不完善，打开比较大的页面如新浪首页会发生停止过滤等不稳定情况。同时，全文过滤势必会对网页浏览速度造成影响。因此，提高插件的稳定性和代码的执行效率是今后改进的方向。性能测试进程监控程序在普通状态下内存占用量在左右，检测到进程创建时会有所增加，但始终保持在之内，占用率基本维持在。过滤插件会对页面打开速度有细微的影响，但和网速造成的延迟相比可忽略不计。创新点进程监控和过滤插件相结合的方式形成了种双层防护模式，二者互为补充，提高了网页木马拦截率。在进程监控部分的编写中，我们选择了可实现指定进程函数的技术，允许用户自定义受监控的进程。这样就避免了全局钩子对所有进程创建事件拦截......”。

4、“.....同时，用户还可以添加浏览器之外的程序，实现对其他程序进程创建和溢出调用的监控。在选择被函数时，我们考虑到监控的所在的文件名，为插入的自定义函数的地址。如果要挂钩中的函数则只需调用。在自定义函数中要进行堆栈维护和与主程序通信的工作。通过命名管道与主程序通信，依据主程序中用户选择的结果或与黑白名单比对的结果来决定继续或终止进程的创建。过滤插件网页挂马原理分析进程监控虽然能发现木马的执行行为，但毕竟木马已经下载到了本地，如果能直接将木马拒之系统之外，那么电脑的安全性将得到进步的保障。通过大量分析网页木马样本，我们发现，虽然网页木马层出不穷，利用的漏洞也多种多样，但网页木马的调用方式却相对固定......”。

5、“.....通过框架脚本等技术，在正常网页显示的同时执行网页木马。而出于隐蔽性考虑，这些附着代码通常具有明显的特征，比如框架的宽高为页面装载后直接跳转因此，我们可以利用这些行为特征，识别出这类代码并加以过滤，这样就直接切断了网页木马的传播途径。我们搜集整理了九种常用的挂马方式插入协议扩展可以实现对指定数据类型的过滤功能。在下将希望处理的数据类型与过滤器的进行关联，即可在浏览器接收数据前进行预处理。在下注册类型的过滤器即实现了对代码的全文过滤。在过滤插件中可以屏蔽可疑的挂马代码，这样解析的就是处理后的代码，网页木马也就失去了执行的机会。过滤器使用进行开发，主要实现了和接口。对网页源码的处理主要在方法中......”。

6、“.....然后进行可疑代码匹配，将剔除掉挂马代码的写入到参数指定的缓冲区即完成了整个过滤功能。经过过滤后，解析的代码中已经不包含网页木马调用，这样就从根源上堵住了木马进入系统的通道，实现了比较彻底的保护。同时，现在的很多病毒已经具有向隐藏框架脚本挂马重定向文件挂马变形加密可改成任意后缀图片伪装伪装调用隐蔽挂马弹窗挂马地址首届全国大学生信息安全竞赛参赛作品对于前三种最为常见的方法，我们编写了对应的正则过滤规则，实测中，这些规则能够排除大小写混杂参数没有引号等干扰，准确匹配特征代码。对于其他方式，由于特征不明显容易造成误判，我们并没有为其编写通用的过滤规则，在实际使用中，用户可将有害网站的域名作为关键字添加到过滤规则中实现过滤......”。

7、“.....两部分的具体实现过程可参见系统设计的相关内容。系统设计进程监控部分网页木马执行原理分析网页木马从触发方式上可分两类，类基于缓冲区溢出漏洞，另类基于系统设计上的些缺陷。前者又主要包括自身的溢出漏洞如矢量标记语言缓冲区溢出漏洞等和浏览器第三方插件的溢出漏洞如迅雷控件远程代码执行漏洞等。这类漏洞利用缓冲区溢出执行段具有攻击性的代码，从而获得系统的控制权。在实际情况下，受溢出空间大小的限制，般不可能实现太多的功能，因此几乎所有的网页木马都选择了具有下载并执行功能的，通过下载个功能更为强大的木马来实现对系统的控制。此类网页木马的执行过程总结如下......”。

8、“.....比较有代表性的有近期被公布的快照查看器控件任意文件下载漏洞，此类漏洞并不触发缓冲区溢出，而是利用相关函数对参数过滤不严，通过提交特殊参数，达到下载执行木马的目的这类网页木马执行过程为从对上述两种木马启动的分析中可以看出，二者都有个下载和执行程序的过程。而由进程创建原理可知，新建进程的父进程都是浏览器。基于这点，如果能够对浏览器创建进程的动作进行监视，便可在木马执行初期进行干预，达到阻止有害程序运行的目的。基于进程监控的解决方案系统下进程创建的般流程如下由图示可见，无论显式使用哪个函数创建进程，最终都要调用函数，那么可以此函数，在其调用时通过分析参数判断正在创建的进程是否存在威胁......”。

9、“.....在实际操作中，本文选择了方式，修改函数前个字节，使函数执行时先跳转到自定义的函数之中，将创建中的进程的完整路径传递给主程序，通过用户的选择决定是继续创建进程还是终止。程序中定义了函数安装函数，其原形如下其中为被监视进程的，为被函数的名称，为被函网页恶意代码防御系统设计背景与需求分析随着近几年网络的飞速发展，互联网在人们的日常生活中扮演了越来越重要的作用。电子商务等互联网新应用已经被越来越多的人接受和采用。因此，网络安全问题就显得愈发重要，网络安全已经直接关系到人们的财产和生活。在各种网络入侵中，网页木马因其工作量小波及范围广的特点，已经成为最主要的木马传播途径。从各大网站的漏洞列表就可以看出......”。