專利名稱:一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域��,特別涉及一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法和裝置���。
背景技術(shù):
網(wǎng)頁(yè)木馬就是加載在網(wǎng)頁(yè)中的木馬病毒��。網(wǎng)頁(yè)木馬可能會(huì)破壞文件����,盜取 資料,給用戶造成巨大損失�,嚴(yán)重危害了網(wǎng)絡(luò)安全。
當(dāng)前網(wǎng)絡(luò)中����,大部分網(wǎng)頁(yè)是基于javascript (可簡(jiǎn)寫(xiě)為js )或vbscript (可筒 寫(xiě)為vbs)腳本語(yǔ)言開(kāi)發(fā)的。其中��,針對(duì)js網(wǎng)頁(yè)木馬的檢測(cè)技術(shù)已經(jīng)非常成熟��, 而針對(duì)vbs網(wǎng)頁(yè)木馬���,當(dāng)前主要有兩種檢測(cè)方法
第一種方法是預(yù)先獲取木馬病毒的vbs代碼樣本,把它當(dāng)作一段普通字符串 來(lái)處理���,提取其中的字符串特征,來(lái)識(shí)別vbs網(wǎng)頁(yè)木馬����;
第二種方法是開(kāi)發(fā)一套vbs引擎,通過(guò)vbs引擎來(lái)解釋執(zhí)行vbs代碼�����,通過(guò) 分析代碼的行為����,來(lái)識(shí)別vbs網(wǎng)頁(yè)木馬��。綜合上述�����,現(xiàn)有技術(shù)至少存在以下問(wèn)題
需要為vbs網(wǎng)頁(yè)木馬配置一套特征庫(kù)��,而js網(wǎng)頁(yè)木馬也配置有一套特征庫(kù)�����, 二者不能統(tǒng)一起來(lái)處理,開(kāi)發(fā)和維護(hù)起來(lái)不僅繁瑣�,而且成本比較高。
發(fā)明內(nèi)容
為了將vbs網(wǎng)頁(yè)木馬和js網(wǎng)頁(yè)木馬的識(shí)別統(tǒng)一起來(lái)�,本發(fā)明實(shí)施例提供了 一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法和裝置。所述技術(shù)方案如下 一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法��,所述方法包括 根據(jù)預(yù)設(shè)的映射關(guān)系��,將vbs代碼轉(zhuǎn)換為js語(yǔ)句���; 解析所述js語(yǔ)句�����;
識(shí)別所述解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為�。
其中,所述根據(jù)預(yù)i殳的映射關(guān)系���,將vbs代碼轉(zhuǎn)換為js語(yǔ)句包括
獲取所述vbs代碼的自定義函數(shù)和自定義對(duì)象����;
5獲取所述vbs代碼的詞法標(biāo)記����;
才艮據(jù)所述vbs代碼的自定義函數(shù)、自定義對(duì)象和詞法標(biāo)記����,獲取所述vbs 代碼的語(yǔ)句;
根據(jù)所述預(yù)設(shè)的映射關(guān)系���,將所述vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句�。
其中�����,所述獲取所述vbs代碼的詞法標(biāo)記包括
采用詞法分析工具lex或flex,獲取所述vbs代碼的詞法標(biāo)記。
其中����,所述根據(jù)所述vbs代碼的自定義函數(shù)、自定義對(duì)象和詞法標(biāo)記�����,獲取
所述vbs代碼的語(yǔ)句包括
根據(jù)所述vbs代碼的自定義函數(shù)�、自定義對(duì)象和詞法標(biāo)記,采用語(yǔ)法分析工
具yacc或bison,獲取所述vbs代碼的語(yǔ)句����。
其中��,所述根據(jù)所述預(yù)設(shè)的映射關(guān)系�,將所述vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)
句包括
根據(jù)所述預(yù)設(shè)的映射關(guān)系,若所述vbs代碼的語(yǔ)句為Execute語(yǔ)句�����,將所述 Execute語(yǔ)句轉(zhuǎn)換為js語(yǔ)句eval語(yǔ)句��,所述eval語(yǔ)句的第 一個(gè)參數(shù)是所述Execute 語(yǔ)句的參數(shù);
在所述eval語(yǔ)句中添加第二個(gè)參數(shù)����,并將所述第二個(gè)參數(shù)設(shè)置為預(yù)先M^定 的轉(zhuǎn)換標(biāo)識(shí)。
其中��,所述解析所述js語(yǔ)句包括
若所述js語(yǔ)句是eval語(yǔ)句��,且所述eval語(yǔ)句的第二個(gè)參數(shù)是預(yù)先規(guī)定的轉(zhuǎn) 換標(biāo)識(shí)�����,讀取所述eval語(yǔ)句的第 一個(gè)參數(shù)�����;
根據(jù)所述預(yù)設(shè)的映射關(guān)系�,將所迷第一個(gè)參數(shù)轉(zhuǎn)換為另一 js語(yǔ)句; 解析所述另一js語(yǔ)句�����。
一種識(shí)別vbs網(wǎng)頁(yè)木馬的裝置�����,所述裝置包括
轉(zhuǎn)換模塊,用于根據(jù)預(yù)設(shè)的映射關(guān)系����,將vbs代碼轉(zhuǎn)換為js語(yǔ)句;
解析模塊��,用于解析所述轉(zhuǎn)換模塊轉(zhuǎn)換的js語(yǔ)句��;
識(shí)別模塊�,用于識(shí)別所述解析模塊解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為。
其中�,所述轉(zhuǎn)換模塊包括
自定義信息獲取單元,用于獲取所述vbs代碼的自定義函數(shù)和自定義對(duì)象�����; 詞法分析單元�����,用于獲取所述vbs代碼的詞法標(biāo)記���;
語(yǔ)法分析單元,用于根據(jù)所述自定義信息獲取單元獲取的自定義函數(shù)和自
6定義對(duì)象���,以及所述詞法分析單元獲取的所述vbs代碼的詞法標(biāo)記����,獲取所述 vbs代碼的語(yǔ)句;
轉(zhuǎn)換單元�,用于根據(jù)所述預(yù)設(shè)的映射關(guān)系,將所述語(yǔ)法分析單元獲取的所 述vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句�����。
其中�,所述詞法分析單元,具體用于
采用詞法分析工具lex或flex,獲取所述vbs代碼的詞法標(biāo)記��。 其中�,所述語(yǔ)法分析單元,具體用于
根據(jù)所述自定義信息獲取單元獲取的自定義函數(shù)和自定義對(duì)象�,以及所述 詞法分析單元獲取的所述vbs代碼的詞法標(biāo)記,采用語(yǔ)法分析工具yacc或bison��, 獲取所述vbs代碼的語(yǔ)句����。
其中,所述轉(zhuǎn)換單元��,具體用于
根據(jù)所述預(yù)設(shè)的映射關(guān)系,若所述語(yǔ)法分析單元獲取的所述vbs代碼的語(yǔ)句 為Execute語(yǔ)句����,將所迷Execute語(yǔ)句轉(zhuǎn)換為js i吾句eval ^吾句,所述eval i吾句 的第 一個(gè)參數(shù)是所述Execute語(yǔ)句的
在所述eval語(yǔ)句中添加第二個(gè)參數(shù)�����,并將所述第二個(gè)參數(shù)設(shè)置為預(yù)先規(guī)定 的轉(zhuǎn)換標(biāo)識(shí)��。
其中��,所述識(shí)別模塊���,具體用于
若所述解析才莫塊解析的js語(yǔ)句是eval語(yǔ)句���,且所述eval語(yǔ)句的第二個(gè)參數(shù) 是預(yù)先規(guī)定的轉(zhuǎn)換標(biāo)識(shí),讀取所述eval語(yǔ)句的第一個(gè)參數(shù)����;
根據(jù)所述預(yù)設(shè)的映射關(guān)系,將所述第一個(gè)參數(shù)轉(zhuǎn)換為另一 js語(yǔ)句����; 解析所述另一js語(yǔ)句��。
本發(fā)明實(shí)施例提供的技術(shù)方案帶來(lái)的有益效果是通過(guò)預(yù)設(shè)的映射關(guān)系����, 將vbs代碼轉(zhuǎn)換為js語(yǔ)句��,解析并識(shí)別該js語(yǔ)句的網(wǎng)頁(yè)木馬行為��,將vbs網(wǎng)頁(yè) 木馬和js網(wǎng)頁(yè)木馬的識(shí)別統(tǒng)一起來(lái)����,不需要為vbs網(wǎng)頁(yè)木馬另配置一套特征庫(kù), 簡(jiǎn)化了開(kāi)發(fā)和維護(hù)過(guò)程���,P條低了成本����。
圖1是本發(fā)明實(shí)施例1中提供的識(shí)別vbs網(wǎng)頁(yè)木馬的方法流程圖��; 圖2是本發(fā)明實(shí)施例1中提供的另一識(shí)別vbs網(wǎng)頁(yè)木馬的方法流程圖���; 圖3是本發(fā)明實(shí)施例2中提供的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置結(jié)構(gòu)示意圖����;圖4是本發(fā)明實(shí)施例2中提供的轉(zhuǎn)換模塊結(jié)構(gòu)示意圖。
具體實(shí)施例方式
為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖對(duì)本發(fā)明 實(shí)施方式作進(jìn)一步地詳細(xì)描述。 實(shí)施例1
參見(jiàn)圖1,本實(shí)施例提供了一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法�,該方法包括 101:根據(jù)預(yù)設(shè)的映射關(guān)系,將vbs代碼轉(zhuǎn)換為js語(yǔ)句�; 102:解析該js語(yǔ)句;
103:識(shí)別該解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為����。
本實(shí)施例提供的識(shí)別vbs網(wǎng)頁(yè)木馬的方法,能夠?qū)bs網(wǎng)頁(yè)木馬和js網(wǎng)頁(yè) 木馬的識(shí)別統(tǒng)一起來(lái)���,不需要為vbs網(wǎng)頁(yè)木馬另配置一套特征庫(kù)��,筒化了開(kāi)發(fā)和 維護(hù)過(guò)程�,降低了成本��。
若要實(shí)現(xiàn)vbs網(wǎng)頁(yè)木馬的識(shí)別,
首先�,預(yù)先建立vbs代碼與js代碼的內(nèi)置函數(shù)和對(duì)象的映射關(guān)系;
例如vbs中的函凄丈asc ( str )���,在js中對(duì)應(yīng)的函數(shù)是str.charCodeAt(O),
二者之間需要建立映射關(guān)系。
其次��,參見(jiàn)圖2��,識(shí)別vbs網(wǎng)頁(yè)木馬的數(shù)據(jù)處理流程如下
201:接收vbs代碼�,對(duì)vbs代碼進(jìn)行預(yù)處理,獲取其中的自定義函數(shù)和自
定義對(duì)象�����;
202:對(duì)vbs代碼進(jìn)4于詞法分析�,獲取詞法標(biāo)記(token); 其中,在做詞法分析時(shí)�����,內(nèi)置的詞法標(biāo)記需要與自定義對(duì)象和自定義函數(shù) 區(qū)分開(kāi)來(lái)�����;
具體的�����,采用開(kāi)源的詞法分析工具(如lex、 flex),將輸入的vbs代碼流識(shí) 別為符合vbs語(yǔ)法要求的關(guān)鍵字�、數(shù)字、運(yùn)算符��、標(biāo)識(shí)符等token�����,其中�,標(biāo)識(shí) 符進(jìn)一步區(qū)分為變量名、函數(shù)名或?qū)ο竺?br>
203:根據(jù)獲取的token以及自定義函數(shù)和自定義對(duì)象���,對(duì)vbs代碼進(jìn)行語(yǔ) 法分析�,獲取vbs代碼的語(yǔ)句���;
其中�,若千token構(gòu)成一條vbs語(yǔ)句��;特殊的�����,自定義函數(shù)和自定義對(duì)象與 內(nèi)置的token —起構(gòu)成若干vbs語(yǔ)句;具體的���,在詞法分析的基礎(chǔ)上�����,采用開(kāi)源的語(yǔ)法分析工具(如yacc、 bison) 對(duì)vbs代碼進(jìn)行語(yǔ)法解析��,識(shí)別出vbs語(yǔ)句���。其中�,vbs語(yǔ)句在本實(shí)施例中包括 表達(dá)式�����、函數(shù)��、對(duì)象�����,還有聲名、賦值��、循環(huán)����、條件分支等語(yǔ)句。
204:如果vbs代碼的語(yǔ)句是Execute語(yǔ)句���,204a)則轉(zhuǎn)換為js語(yǔ)句eval語(yǔ) 句����,且在eval語(yǔ)句中添加第二個(gè)參數(shù)�,并執(zhí)行203,否則執(zhí)行205;
其中�����,該eval語(yǔ)句的第 一個(gè)參數(shù)是Execute語(yǔ)句的參數(shù)��,eval語(yǔ)句的第二 個(gè)參數(shù)����,用于識(shí)別js語(yǔ)句是否是從vbs代碼轉(zhuǎn)換來(lái)的,并將其值設(shè)為預(yù)先規(guī)定 的轉(zhuǎn)換標(biāo)識(shí)����,本實(shí)施例中�����,該轉(zhuǎn)換標(biāo)識(shí)設(shè)為"vbs"�����。
將Execute轉(zhuǎn)換為eval并添加一個(gè)參數(shù)vbs轉(zhuǎn)換為js有時(shí)不是一次可以完 成的��,Execute函數(shù)的參數(shù)也是一段vbs代碼��,這時(shí)可以先執(zhí)行部分轉(zhuǎn)換的js代 碼,執(zhí)行到Execute時(shí)��,再將Execute的參數(shù)部分進(jìn)行二次轉(zhuǎn)換�,如果有Execute 嵌套的情況,這種反復(fù)轉(zhuǎn)換需要進(jìn)行多次�。
205:根據(jù)預(yù)設(shè)的映射關(guān)系,將vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句���。
具體的��,按照優(yōu)先級(jí)順序����,將vbs表達(dá)式轉(zhuǎn)化為相應(yīng)的js表達(dá)式將vbs 中的聲名、賦值���、循環(huán)�、條件分支等語(yǔ)句轉(zhuǎn)換為相應(yīng)的js語(yǔ)句���;將vbs中的函 數(shù)定義�、對(duì)象定義轉(zhuǎn)換為對(duì)應(yīng)的js格式的函數(shù)定義�����、對(duì)象定義�;對(duì)于內(nèi)置的函 數(shù)調(diào)用根據(jù)預(yù)先建立的映射關(guān)系,轉(zhuǎn)換為相應(yīng)的調(diào)用形式����。
例如通過(guò)預(yù)先設(shè)定的映射關(guān)系,將vbs函數(shù)call CLng "hello",轉(zhuǎn)換成js 函數(shù)parselnt("hello" ,16)�����。
206:如果還有沒(méi)處理完的token,執(zhí)行203��,否則執(zhí)行207;
207:輸出js語(yǔ)句;
208:對(duì)js語(yǔ)句進(jìn)4亍解析�;
解析過(guò)程具體可由js引擎進(jìn)行處理,如spidermonkey等��。 209:如果js語(yǔ)句是eval語(yǔ)句�����,且第二個(gè)參數(shù)為"vbs", 209a)則讀取eval 語(yǔ)句的第一個(gè)參數(shù)的值���,并執(zhí)行201��,否則執(zhí)行209;
解析該eval語(yǔ)句的過(guò)程具體可由js引擎進(jìn)行處理����,如spidermonkey等����。 210:執(zhí)行js語(yǔ)句���,并分析網(wǎng)頁(yè)木馬行為���;
具體的���,分析js語(yǔ)句的網(wǎng)頁(yè)木馬行為,可以采用現(xiàn)有技術(shù)的js網(wǎng)頁(yè)木馬的 識(shí)別方法���。
211:如果已經(jīng)處理完所有的js語(yǔ)句����,則退出�,否則執(zhí)行208。本實(shí)施例提供的識(shí)別vbs網(wǎng)頁(yè)木馬的方法��,通過(guò)預(yù)設(shè)的映射關(guān)系����,將vbs 代碼轉(zhuǎn)換為js語(yǔ)句,解析并識(shí)別該js語(yǔ)句的網(wǎng)頁(yè)木馬行為���,將vbs網(wǎng)頁(yè)木馬和 js網(wǎng)頁(yè)木馬的識(shí)別統(tǒng)一起來(lái)����,不需要為vbs網(wǎng)頁(yè)木馬另配置一套特征庫(kù)��,簡(jiǎn)化 了開(kāi)發(fā)和維護(hù)過(guò)程�����,降低了成本。另外���,相對(duì)與第一種現(xiàn)有技術(shù)�,不需要提前 獲取vbs代碼樣本�,具有較高的時(shí)效性和通用性;相對(duì)于第二種現(xiàn)有技術(shù)�����,不需 要額外開(kāi)發(fā)vbs引擎��,可以利用現(xiàn)有的js引擎�����,只需要進(jìn)行詞法分析和語(yǔ)法分 析��,不需要模擬執(zhí)行�,節(jié)省了時(shí)間和人力成本�。
實(shí)施例2
參見(jiàn)圖3,本實(shí)施例提供了一種識(shí)別vbs網(wǎng)頁(yè)木馬的裝置��,該裝置包括 轉(zhuǎn)換模塊301,用于根據(jù)預(yù)設(shè)的映射關(guān)系���,將vbs代碼轉(zhuǎn)換為js語(yǔ)句����; 解析模塊302��,用于解析該轉(zhuǎn)換模塊301轉(zhuǎn)換的js語(yǔ)句����; 識(shí)別模塊303,用于識(shí)別該解析模塊302解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為�����。 進(jìn)一步的����,參見(jiàn)圖4,該轉(zhuǎn)換模塊301包括
自定義信息獲取單元301a����,用于獲取該vbs代碼的自定義函數(shù)和自定義對(duì)
象;
詞法分析單元301b,用于獲取該vbs代碼的詞法標(biāo)記;
語(yǔ)法分析單元301c��,用于根據(jù)該自定義信息獲取單元301a獲取的自定義函 數(shù)和自定義對(duì)象���,以及該詞法分析單元301b獲取的該vbs代碼的詞法標(biāo)記��,獲 取該vbs代碼的語(yǔ)句�����;
轉(zhuǎn)換單元301d����,用于根據(jù)該預(yù)設(shè)的映射關(guān)系�,將該語(yǔ)法分析單元301c獲取 的該vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句。
其中�,該詞法分析單元301b,具體用于
采用詞法分析工具lex或flex,獲取該vbs代碼的詞法標(biāo)記���。
其中����,該語(yǔ)法分析單元301c�����,具體用于
根據(jù)該自定義信息獲取單元301a獲取的自定義函數(shù)和自定義對(duì)象��,以及該 詞法分析單元301b獲取的該vbs代碼的詞法標(biāo)記�,采用語(yǔ)法分析工具yacc或 bison ,獲取該vbs代Z馬的語(yǔ)句�。
其中,該轉(zhuǎn)換單元301d��,具體用于
根據(jù)該預(yù)設(shè)的映射關(guān)系����,若該語(yǔ)法分析單元301c獲取的該vbs代碼的語(yǔ)句為Execute語(yǔ)句,將該Execute語(yǔ)句轉(zhuǎn)4灸為js語(yǔ)句eval語(yǔ)句���,該eval語(yǔ)句的第 一個(gè)參凄史是該Execute語(yǔ)句的參H;
在該eval語(yǔ)句中添加第二個(gè)參數(shù)�,并將該第二個(gè)參數(shù)設(shè)置為預(yù)先規(guī)定的轉(zhuǎn) 換標(biāo)識(shí)����。
其中,該識(shí)別模塊303,具體用于
若該解析才莫塊302解析的js語(yǔ)句是eval語(yǔ)句�,且該eval語(yǔ)句的第二個(gè)參數(shù) 是預(yù)先規(guī)定的轉(zhuǎn)換標(biāo)識(shí),讀取該eval語(yǔ)句的第一個(gè)參數(shù)�;
根據(jù)該預(yù)設(shè)的映射關(guān)系,將該第 一個(gè)參數(shù)轉(zhuǎn)換為另一 js語(yǔ)句; 解析該另一js語(yǔ)句�。
本實(shí)施例提供的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置,通過(guò)預(yù)設(shè)的映射關(guān)系�����,將vbs 代碼轉(zhuǎn)換為js語(yǔ)句�����,解析并識(shí)別該js語(yǔ)句的網(wǎng)頁(yè)木馬行為�����,將vbs網(wǎng)頁(yè)木馬和 js網(wǎng)頁(yè)木馬的識(shí)別統(tǒng)一起來(lái)����,不需要為vbs網(wǎng)頁(yè)木馬另配置一套特征庫(kù),簡(jiǎn)化 了開(kāi)發(fā)和維護(hù)過(guò)程��,降低了成本�。另外,相對(duì)與第一種現(xiàn)有技術(shù)�,不需要提前 獲取vbs代碼樣本,具有較高的時(shí)效性和通用性���;相對(duì)于第二種現(xiàn)有技術(shù)���,不需 要額外開(kāi)發(fā)vbs引擎���,可以利用現(xiàn)有的js引擎���,只需要進(jìn)行詞法分析和語(yǔ)法分 析�����,不需要模擬執(zhí)行�����,節(jié)省了時(shí)間和人力成本����。
以上實(shí)施例提供的技術(shù)方案中的全部或部分內(nèi)容可以通過(guò)軟件編程實(shí)現(xiàn)����, 其軟件程序存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中,存儲(chǔ)介質(zhì)例如計(jì)算機(jī)中的硬盤���、光��。
以上所述僅為本發(fā)明的較佳實(shí)施例����,并不用以限制本發(fā)明,凡在本發(fā)明的 精神和原則之內(nèi)�����,所作的任何修改���、等同替換��、改進(jìn)等����,均應(yīng)包含在本發(fā)明的 保護(hù)范圍之內(nèi)��。
權(quán)利要求
1���、一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法��,其特征在于�,所述方法包括根據(jù)預(yù)設(shè)的映射關(guān)系,將vbs代碼轉(zhuǎn)換為js語(yǔ)句�����;解析所述js語(yǔ)句��;識(shí)別所述解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為�����。
2����、 如權(quán)利要求1所述的識(shí)別vbs網(wǎng)頁(yè)木馬的方法����,其特征在于,所述根據(jù) 預(yù)設(shè)的映射關(guān)系�����,將vbs代碼轉(zhuǎn)換為js語(yǔ)句包括獲取所述vbs代碼的自定義函數(shù)和自定義對(duì)象��; 獲取所述vbs ^碼的詞法標(biāo)記����;根據(jù)所述vbs代碼的自定義函數(shù)����、自定義對(duì)象和詞法標(biāo)記�,獲取所述vbs 代碼的語(yǔ)句;根據(jù)所述預(yù)設(shè)的映射關(guān)系�,將所述vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句。
3���、 如權(quán)利要求2所述的識(shí)別vbs網(wǎng)頁(yè)木馬的方法���,其特征在于,所述獲取 所述vbs代碼的詞法標(biāo)記包括采用詞法分析工具lex或flex,獲取所述vbs代碼的詞法標(biāo)記��。
4�、 如權(quán)利要求2所述的識(shí)別vbs網(wǎng)頁(yè)木馬的方法,其特征在于���,所述根據(jù) 所述vbs代碼的自定義函數(shù)�、自定義對(duì)象和詞法標(biāo)記����,獲取所述vbs代碼的語(yǔ)句 包括根據(jù)所述vbs代碼的自定義函數(shù)�、自定義對(duì)象和詞法標(biāo)記���,采用語(yǔ)法分析工 具yacc或bison,獲取所述vbs代碼的語(yǔ)句�。
5����、 如權(quán)利要求2所述的識(shí)別vbs網(wǎng)頁(yè)木馬的方法,其特征在于�����,所述根據(jù) 所述預(yù)設(shè)的映射關(guān)系�,將所述vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句包括根據(jù)所述預(yù)設(shè)的映射關(guān)系���,若所述vbs代碼的語(yǔ)句為Execute語(yǔ)句���,將所述 Execute語(yǔ)句轉(zhuǎn)換為js語(yǔ)句eval語(yǔ)句,所述eval語(yǔ)句的第 一個(gè)參數(shù)是所述Execute 語(yǔ)句的參數(shù)�����;在所述eval語(yǔ)句中添加第二個(gè)參數(shù)�����,并將所述第二個(gè)參數(shù)設(shè)置為預(yù)先規(guī)定 的轉(zhuǎn)換標(biāo)識(shí)。
6����、 如權(quán)利要求1所述的識(shí)別vbs網(wǎng)頁(yè)木馬的方法,其特征在于����,所述解析 所述js語(yǔ)句包括若所述js語(yǔ)句是eval語(yǔ)句,且所述eval語(yǔ)句的第二個(gè)參數(shù)是預(yù)先規(guī)定的轉(zhuǎn) 換標(biāo)識(shí)����,讀取所述eval語(yǔ)句的第 一個(gè)參數(shù);根據(jù)所述預(yù)設(shè)的映射關(guān)系����,將所述第 一個(gè)參數(shù)轉(zhuǎn)換為另一 js語(yǔ)句; 解析所述另一js語(yǔ)句�。
7、 一種識(shí)別vbs網(wǎng)頁(yè)木馬的裝置�,其特征在于,所述裝置包括 轉(zhuǎn)換模塊����,用于根據(jù)預(yù)設(shè)的映射關(guān)系��,將vbs代碼轉(zhuǎn)換為js語(yǔ)句���; 解析模塊,用于解析所述轉(zhuǎn)換模塊轉(zhuǎn)換的js語(yǔ)句�����;識(shí)別模塊�,用于識(shí)別所述解析模塊解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為。
8����、 如權(quán)利要求7所述的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置,其特征在于���,所述轉(zhuǎn)換 模塊包括自定義信息獲取單元,用于獲取所述vbs代碼的自定義函數(shù)和自定義對(duì)象��; 詞法分析單元�,用于獲取所述vbs代碼的詞法標(biāo)記;語(yǔ)法分析單元���,用于根據(jù)所述自定義信息獲取單元獲取的自定義函數(shù)和自 定義對(duì)象�����,以及所迷詞法分析單元獲取的所述vbs代碼的詞法標(biāo)記�����,獲取所述 vbs代碼的語(yǔ)句��;轉(zhuǎn)換單元���,用于^f艮據(jù)所述預(yù)設(shè)的映射關(guān)系����,將所述語(yǔ)法分析單元獲取的所 述vbs代碼的語(yǔ)句轉(zhuǎn)換為js語(yǔ)句��。
9�����、 如權(quán)利要求8所述的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置��,其特征在于�����,所述詞法 分析單元,具體用于采用詞法分析工具lex或flex,獲取所述vbs代碼的詞法標(biāo)記���。
10�����、 如權(quán)利要求8所述的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置�,其特征在于�����,所述語(yǔ)法分析單元����,具體用于根據(jù)所述自定義信息獲取單元獲取的自定義函數(shù)和自定義對(duì)象,以及所述詞法分析單元獲取的所述vbs代碼的詞法標(biāo)記�,采用語(yǔ)法分析工具yacc或bison, 獲取所述vbs代碼的語(yǔ)句。
11����、 如權(quán)利要求8所述的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置��,其特征在于,所述轉(zhuǎn)換 單元���,具體用于根據(jù)所述預(yù)設(shè)的映射關(guān)系��,若所述語(yǔ)法分析單元獲取的所述vbs代碼的語(yǔ)句 為Execute語(yǔ)句�,將所述Execute語(yǔ)句轉(zhuǎn)換為js語(yǔ)句eval語(yǔ)句���,所述eval i吾句 的第 一個(gè)參數(shù)是所述Execute語(yǔ)句的參數(shù)���;在所述eval語(yǔ)句中添加第二個(gè)參數(shù),并將所述第二個(gè)參數(shù)設(shè)置為預(yù)先規(guī)定 的轉(zhuǎn)4灸標(biāo)識(shí)�����。
12����、 如權(quán)利要求7所述的識(shí)別vbs網(wǎng)頁(yè)木馬的裝置,其特征在于�����,所述識(shí)別 模塊���,具體用于若所述解析模塊解析的js語(yǔ)句是eval語(yǔ)句�,且所述eval語(yǔ)句的第二個(gè)參數(shù) 是預(yù)先規(guī)定的轉(zhuǎn)換標(biāo)識(shí),讀取所述eval語(yǔ)句的第一個(gè)參數(shù)��;根據(jù)所述預(yù)設(shè)的映射關(guān)系���,將所述第一個(gè)參數(shù)轉(zhuǎn)換為另一 js語(yǔ)句�; 解析所述另一js語(yǔ)句���。
全文摘要
本發(fā)明公開(kāi)了一種識(shí)別vbs網(wǎng)頁(yè)木馬的方法和裝置�����,屬于計(jì)算機(jī)領(lǐng)域���。所述方法包括根據(jù)預(yù)設(shè)的映射關(guān)系,將vbs代碼轉(zhuǎn)換為js語(yǔ)句��;解析所述js語(yǔ)句���;識(shí)別所述解析后的js語(yǔ)句的網(wǎng)頁(yè)木馬行為��。所述裝置包括轉(zhuǎn)換模塊�����、解析模塊和識(shí)別模塊���。本發(fā)明通過(guò)預(yù)設(shè)的映射關(guān)系,將vbs代碼轉(zhuǎn)換為js語(yǔ)句���,解析并識(shí)別該js語(yǔ)句的網(wǎng)頁(yè)木馬行為����,將vbs網(wǎng)頁(yè)木馬和js網(wǎng)頁(yè)木馬的識(shí)別統(tǒng)一起來(lái)���,不需要為vbs網(wǎng)頁(yè)木馬另配置一套特征庫(kù)����,簡(jiǎn)化了開(kāi)發(fā)和維護(hù)過(guò)程��,降低了成本�����。
文檔編號(hào)G06F9/44GK101515318SQ20091013002
公開(kāi)日2009年8月26日 申請(qǐng)日期2009年4月3日 優(yōu)先權(quán)日2009年4月3日
發(fā)明者張海清, 勇 楊, 林世飛, 歡 陳 申請(qǐng)人:深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司