网页挂马在完成下载后,会采取多种方式执行木马程序。首先,利用页面元素渲染过程中的格式溢出,木马会隐藏在看似正常的代码中,当浏览器解析时,shellcode会自动执行,下载的木马随之启动(通过页面元素渲染过程中的格式溢出执行shellcode)。
其次,一些恶意脚本也可能成为木马的载体,它们通过漏洞运行,直接激活木马(利用脚本运行的漏洞执行木马)。
伪装成缺失组件的安装包是另一种常见手法,当用户安装时,浏览器会自动执行其中隐藏的木马(伪装成安装包被浏览器自动执行)。
此外,木马还可能利用com组件中的漏洞进行攻击,通过脚本调用这些组件,触发漏洞以启动木马(脚本调用com组件利用其漏洞执行木马)。
为了逃避杀毒软件的检测,网马会采取狡猾的策略。它们可能会修改系统时间,使杀毒软件的实时防护失效(修改系统时间,规避杀毒软件);或者解除杀毒软件的HOOK功能,阻止其对恶意行为的监控(摘除杀毒软件HOOK,降低检测能力);甚至通过篡改病毒库,让恶意代码在杀毒软件的视野之外(修改病毒库,隐藏恶意代码)。
更为狡猾的是,有些木马会选择不直接执行恶意代码,而是通过溢出漏洞调用脚本,这样可以绕过杀毒软件对父进程的监控,提高其存活率(通过溢出漏洞间接执行,躲避杀毒软件检测)。
网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!