[发明专利]一种检测网页木马的方法和装置

权利要求书

1.一种检测网页木马的方法，其特征在于，该方法包括：

截获浏览器接收的数据包；

检测截获的数据包中是否携带可移植的执行体PE文件，当携带PE文件时，向用户提示存在下载PE文件的操作。

2.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

接收用户返回的指示，当用户指示下载时，则允许下载该PE文件；当用户拒绝下载时，则拒绝下载该PE文件。

3.根据权利要求1所述的方法，其特征在于，

所述数据包为传输控制协议TCP包。

4.根据权利要求3所述的方法，其特征在于，所述检测截获的TCP包中是否携带PE文件包括：

确定截获的TCP包中的数据部分，判断数据部分的头部是包含MZ标志和PE标志，如果包含，则截获的TCP包中携带PE文件；否则，截获的TCP包中不携带PE文件。

5.根据权利要求4所述的方法，其特征在于，所述确定截获的TCP包中的数据部分包括：

当TCP包基于HTTP协议时，确定TCP包中两个回车换行符之后的部分为TCP包的数据部分；

当TCP包基于文件传输协议FTP协议时，则确定从FTP数据端口接收的数据为TCP包的数据部分。

6.根据权利要求3、4或5所述的方法，其特征在于，所述截获浏览器接收的TCP包包括：

采用应用程序编程接口钩子API HOOK技术，对IE接收数据使用的WSArecv函数进行监控，截获浏览器接收的TCP包。

7.根据权利要求2或3所述的方法，其特征在于，在拒绝下载该PE文件之后，向用户返回日志信息，其中包括拒绝下载该PE文件的时间，以及下载该PE文件对应的进程。

8.一种检测网页木马的装置，其特征在于，该装置包括截获单元、检测单元和用户接口单元；

所述截获单元，用于截获浏览器接收的数据包；

所述检测单元，用于检测所述截获单元截获的数据包中是否携带PE文件，如果携带PE文件，通过所述用户接口单元向用户提示存在下载PE文件的操作；

所述用户接口单元，用于提供所述检测单元与用户的接口。

9.根据权利要求8所述的装置，其特征在于，

所述检测单元，进一步用于通过所述用户接口单元接收用户返回的指示；当用户指示下载时，则允许下载该PE文件；当用户拒绝下载时，则执行所述拒绝下载该PE文件的操作。

10.根据权利要求8所述的装置，其特征在于，

所述截获单元截获的数据包为TCP包。

11.根据权利要求10所述的装置，其特征在于，

所述检测单元，用于确定截获的TCP包中的数据部分，判断数据部分的头部是包含MZ标志和PE标志，如果包含，则截获的TCP包中携带PE文件；否则，截获的TCP包中不携带PE文件。

12.根据权利要求11所述的装置，其特征在于，

所述检测单元确定截获的TCP包中的数据部分包括：当TCP包基于HTTP协议时，确定TCP包中两个回车换行符之后的部分为TCP包的数据部分；当TCP包基于FTP协议时，则确定从FTP数据端口接收的数据为TCP包的数据部分。

13.根据权利要求10、11或12所述的装置，其特征在于，

所述截获单元截获浏览器接收的TCP包包括：采用API HOOK技术，对IE接收数据使用的WSArecv函数进行监控，截获浏览器接收的TCP包。

14.根据权利要求9或10所述的装置，其特征在于，

所述检测单元，进一步用于在拒绝下载该PE文件之后，通过所述用户接口单元向用户返回日志信息，其中包括拒绝下载该PE文件的时间，以及下载该PE文件对应的进程。