什么是网页挂马，怎么防范网页被挂马

一、挂马原理

1、网页挂马有个非常重要的特点，就是不需要下载安装软件，只要这个网页上有攻击代码，就能够达到挂马目的。

2、黑客制造了一个攻击网页，利用这些漏洞的人，可以把这个攻击网页嵌入完全正常的页面，这个攻击代码对网民来说是完全看不见的，浏览器正在执行的攻击程序完全做到不给用户留下任何界面。有的网页木马制作者直接打广告说，他的网马可以做到不崩不弹不卡(意思是浏览器不会崩溃不会弹对话框浏览速度不受影响)，并且，这些挂马网页一般情况下会将多个漏洞复合使用，用户电脑上的风险可能不会全部修复，只要有一个存在，网马就会触发。

二、常见方式

1、利用脚本运行的漏洞下载木马
2、利用脚本运行的漏洞释放隐含在网页脚本中的木马
3、将木马伪装为缺失的组件，或和缺失的组件捆绑在一起（例如：flash播放插件）。这样既达到了下载的目的，下载的组件又会被浏览器自动执行。
4、通过脚本运行调用某些com组件，利用其漏洞下载木马。
5、在渲染页面内容的过程中利用格式溢出释放木马（例如：ani格式溢出漏洞）
6、在渲染页面内容的过程中利用格式溢出下载木马（例如：flash9.0.115的播放漏洞）

三、执行方式

1、利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马
2、利用脚本运行的漏洞执行木马
3、伪装成缺失组件的安装包被浏览器自动执行
4、通过脚本调用com组件利用其漏洞执行木马。
5、利用页面元素渲染过程中的格式溢出直接执行木马。
6、利用com组件与外部其他程序通讯，通过其他程序启动木马（例如：realplayer10.5存在的播放列表溢出漏洞）

四、在与网马斗争的过程中，为了躲避杀毒软件的检测，一些网马还具有了以下行为

1、修改系统时间，使杀毒软件失效
2、摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效
3、修改杀毒软件病毒库，使之检测不到恶意代码。
4、通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。

五、防御网页挂马

1、网页挂马的凶猛势头在2009年初逐步被遏制，因为用户可以选择优秀的浏览器防护工具进行防护。好的防护工具可以100%拦截这些网页挂马，甚至2009年至今出现的各种浏览器有关的0day漏洞也很难继续“逍遥自在”。

2、另一个办法，就是修被系统漏洞，一定不要轻视漏洞，据观察，黑客一定不会放过任何一个很好利用的漏洞，每一个漏洞对黑客来说都如获至宝。只有很好地为系统打补丁才能大大降低被挂马网页攻击的风险。