[发明专利]一种网页防挂马的方法

权利要求书

1、一种网页防挂马的方法，其特征在于，包括如下步骤：

A、监视JavaScript的内存分配情况，判断被分配的堆是否覆盖到了0x0A0A0A0A、0x0C0C0C0C、0x0D0D0D0D三个地址之一；如果是，进入步骤B，如果否，进入步骤H；

B、挂接若干网络API函数和恶意代码常用或者必须用到的API函数，进入步骤C；

C、当所述被挂接的API函数被调用时，判断API函数的返回地址是否跟0x0A0A0A0A、0x0C0C0C0C、0x0D0D0D0D三个地址之一在同一个内存块内；如果是，进入步骤D，如果否，进入步骤E；

D、网页已经被挂马，进入步骤G；

E、调用VirtualQuery来获取返回地址所在内存块的属性，判断该内存块属性的Type是否为MEM_IMAGE；如果是，进入

步骤F，如果否，进入步骤D；

F、将返回地址所在模块的内存中的数据与该模块对应磁盘文件的数据进行比较；如果相同，进入步骤H，如果不相同，进入步骤D；

G、挂接的API函数返回失败，拦截挂马使用所述API函数对应的原始函数进行的有危害的操作，达到防御的目的；

H、未检测到网页被挂马，步骤B中挂接的API函数对原始函数放行，即调用原始函数完成相应的功能。

2、根据权利要求1所述的网页防挂马的方法，其特征在于，执行完所述步骤H后进入步骤I，

I、拦截若干关键函数，判断其返回地址是否在栈空间里；如果是，拦截挂马使用所述关键函数进行的有危害的操作，达到防御的目的，如果否，对所拦截的关键函数放行。

3、根据权利要求1所述的网页防挂马的方法，其特征在于，执行完所述步骤H后执行步骤I’，

I’、拦截若干关键函数，判断其返回地址是否在栈空间里；如果是，拦截挂马使用所述关键函数进行的有危害的操作，达到防御的目的，如果否，对所拦截的关键函数放行，并进入步骤J；

J、拦截若干关键函数，判断其返回地址的页属性是否含有PAGE_EXECUTE、PAGE_EXECUTE_READ、PAGE_EXECUTE_READWRITE、PAGE_EXECUTE_WRITECOPY中的任意一个；如果是，对该步骤J中所拦截的关键函数放行，如果否，拦截挂马使用所拦截关键函数进行的有危害的操作，达到防御的目的。

4、根据权利要求1所述的网页防挂马的方法，其特征在于，执行完所述步骤H后进入步骤J’，

J’、拦截若干关键函数，判断其返回地址的页属性是否含有PAGE_EXECUTE、PAGE_EXECUTE_READ、PAGE_EXECUTE_READWRITE、PAGE_EXECUTE_WRITECOPY中的任意一个；如果是，对该步骤J’中所拦截的关键函数放行，如果否，拦截挂马使用所拦截关键函数进行的有危害的操作，达到防御的目的。

5、根据权利要求2-4中任意一项所述的网页防挂马的方法，其特征在于，

所述关键函数包括WSAStartup、URLDownloadToFileA、InternetOpen或者LoadLibraryA。

6、根据权利要求1-4中任意一项所述的网页防挂马的方法，其特征在于，

步骤A中，通过挂接SysAllocStringByteLen监视JavaScript的内存分配。

7、根据权利要求1-4中任意一项所述的网页防挂马的方法，其特征在于，

所述原始函数包括WSAStartup、URLDownloadToFileA、InternetOpen或者LoadLibraryA。