扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
你是否曾经想到过,在利用网络浏览器访问已经确认或者怀疑被恶意软件感染的网站时,可以捕获它并对其工作原理进行分析?这样的处理方式是否需要开发或者购买专门解决方案呢?对于第一个问题,答案是肯定的,而对于第二个问题,答案则是否定的。火狐浏览器上新推出的一个开源扩展插件就可以实现这样的功能。
火鲨是什么?
火鲨包含了一个基于火狐浏览器的扩展插件和一组脚本。这些脚本是用Perl语言开发的,可以帮助分析火鲨的输出文件。
运行该扩展插件,你就可以得到一个包含目标页面所有信息的文件夹。它包括了:
Ø HTML源代码
Ø 图片
Ø 页面打开时运行的脚本
Ø 在测试环境中对页面的性质进行分析的结果
开始安装
如果没有出现什么意外的话,火鲨的安装非常简单。我在使用时间遇到的唯一问题是缺乏说明文档。开发者当时承诺会在四月提供,但到现在为止,还是没有出现。因此,在安装出现问题时,我就需要利用到谷歌搜索和论坛查询。
接下来,我开始创建一个测试环境。由于想让火鲨发现由目标网站造成的所有破坏,因此,我利用甲骨文虚拟机VirtualBox创建了使用Unbuntu Linux的虚拟机(VM)。在虚拟机中,我没有安装任何防恶意软件工具。我也重新调整了DNS设置,让OpenDNS不会过滤并阻止到目标网站的访问。
根据说明,火鲨也可以在Windows下运行。我也在运行Windows 7的威睿虚拟机环境中进行了测试。
火鲨插件的安装非常容易。我打开火狐浏览器,访问Fireshark.org,并点击下载链接。这时,需要对火狐浏览器进行一次复位操作。
我基本上完成了所有准备工作后。最后的一步是向火鲨提供目标网站的列表。我创建了一张潜在恶意网站的列表,并保存在如图1所示的文本文件(data.txt)中。在Linux虚拟机中,我将该文件保存在用户主目录/home/tolzak中。(在Windows 7中,它被保存在用户的文件\tom Olzak里。)在Linux和Windows的测试中,我采用的是相同的文件列表。如果你没有将data.txt保存在用户主目录下的话,火鲨将无法找到它们。
图1:Windows 7测试中的data.txt文件
运行火鲨
现在,我已经准备好了。启动火狐浏览器后,我点击了工具菜单(见图2)的开始按键启动了火鲨。剩下来的事情就是坐视火狐打开data.txt文件中的所有网站。一个提醒,如果你希望看到网站上所有页面的情况的话,可能需要输入所有页面的地址。我用尽了全身解数也没有找到让火鲨深入目标网站的方法。
图2:启动火鲨
一旦访问完列出的所有网站,在用户主目录下就会出现大量的输出文件。情况如图3所示。以"dom"开头的文件包含的是每张目标页面的HTML源代码。以"src"开头的文件包含的是页面打开时试图或者已经运行的脚本。"reportlog.yml"是一个接口文件。它主要用于开发人员在进行其它类型分析时的调用。以"img"开头的文件包含了目标站点的图片。
图3:火鲨在Linux系统下的输出结果
最后,"reportlog.txt"文件中包含了页面访问过程中的活动情况。图4显示了它的内容范例。图5显示的是reportlog.yml中的内容。为了对输出日志进行分析,Fireshark.org提供三个Perl脚本。它们可以分别下载,单独使用,运行的时间需要雅梅尔(YAML)的支持。
图4:Reportlog.txt中的内容
图5:Reportlog.yml中的内容
结论
看起来,对于希望对特定网页进行分析或者在已知恶意站点上设置蜜罐系统的人来说,这是一个功能强大的工具。火鲨并不适合那些只是希望把系统分析工具当作自己计算机上非常酷"玩具"的人。你应该知道,干净的系统意味着天天坚持保护,永不放松警惕。
在使用火鲨前,请务必关闭所有的测试平台或虚拟机,这里面也包括了火狐浏览器中其它和安全相关的功能。在最初的几次测试运行中,火狐浏览器阻止了弹出窗口和其它认为不安全的活动。这导致运行该工具的效果出现了问题。
最后,我希望该工具在输出文件保存方面可以提供更大一点的控制权限。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者