网站木马检测 本例中的程序会一一扫描指定目录中的文件,采用了正则匹配的方式来查找恶意脚本。与前人产品不同的是,本作品没有使用单一的判别标准。本作品事先定义好在服务器中常见的带有风险的操作和期危险度的权值,在扫描牟文静的过程中,为该文件中出现的所有敏感操作会被全部扫描出,所有敏感操作的危险度的权值会被相加,得到该文件的危险指数。根据设定的危险指数阀值,危险指数大于危险阀值的文件会被报告为“危险”,危险指数大于可疑阀值但小于危险阀值的文件会被报告为“可疑”。
本例与传统的以正则匹配的方式来查找恶意脚本的方式相比,能在漏报率不增加的情况下,大幅度降低误报率。