暗链详解之暗链技术手段及检测方法（下）

暗链技术手段

方式一：页面技术

第一，修改级联样式表（CascadingStyle Sheet, CSS)的样式。

在CSS样式表中，通过将标签的效果设置为透明隐藏的，能够用来美化网页的页面展示效果，而暗链利用此方法到达隐藏链接的目的。具体设置方法可以采用为标签添加属性信息，例如style="display：none ；"。

第二，偏离页面中的可见位置。

在使用浏览器浏览页面时，浏览器的窗口为一个以左上角为坐标原点的坐标系，页面内标签的位置布局就是通过该坐标系来定位的。如果将标签的位置设定在坐标系的可见范围之外，就能够实现对标签的隐藏，暗链利用此方法可以将其链接所在的标签定位在不可见的区域内，从而实现隐藏的目的。具体设置方法可以为将标签定位在可见范围以外，例如< div style = " position ：absolute ；top :_0623px ；left ：-279px;" >。

第三，采用跑马灯MARQUEE的方式。

在网页中通过MARQUEE标签能够实现文字图片在页面上的滚动，对MARQUEE标签的属性进行设置，能够指定滚动条的位置、大小和滚动速度。暗链利用此方法改变滚动条的属性，从而达到视觉隐藏的效果。

第四，将字体颜色设置为背景颜色。

网页中可以对背景和字体进行灵活的设置，暗链通过将链接设置为较小字体，并且颜色设置为与背景颜色相同，从而实现隐藏的目的。

具体方法：

利用css中的标签display，把黑链的display元素设置为none，也就是让黑链不显示在页面上

<div style="display:none;">

<ahref="http://www.baidu.com/1.html"></a>

<ahref="http://www.baidu.com/2.html"></a>

<ahref="http://www.baidu.com/3.html"></a>

<ahref="http://www.baidu.com/4.html"></a>

</div>

利用css中的color元素，把黑链的标签显示颜色调为和网页页面颜色一致，让人肉眼无法看到

利用css的浮动或者定位技术，把黑链浮动或者定位在网页不可浏览到的位置

方式二：Globasl.asa技术

Global.asa、Global.asax，实际上这个方法在很多年前挂马的时候就应用到了。

这两个文件是 Asp 和 Aspx 独有的特殊文件，作用是在每次执行一个动态脚本的时候，都会先加载该脚本，然后再执行目标脚本。（该文件还可以进行简单的文件锁定，因为每次都先执行嘛，所以可以每次都判断一次某个文件状态，然后进行某些操作，和上边的循环监视锁定的效果是一样的。）

（实际上不一定非要写这俩文件，例如：conn.asp、conn.php 等被大量脚本包含的通用文件都可以，效果是一样的，而且比这个隐蔽多了……）

关于这个文件具体的细节就不说了，不然又是个长篇大论，想了解的可以去搜搜，或者参考：http://baike.baidu.com/view/673542.htm

所以效果就来了，既然执行每个脚本的时候都会先执行该文件，小黑客们就想到了劫持蜘蛛的方法，在 Global.asa 中写判断用户系统信息的代码（User-Agent: Mozilla/5.0），然后判断是否是蜘蛛、来路是什么等信息……

如果是蜘蛛来访，那么就会输出SEO作弊用的关键词，否则就显示正常页面，如果你网站更新频率很高的话，那么几乎是刚挂上关键词就收录了，就来量了，很快。

如果用户来路信息为搜索引擎，那么就跳转到攻击者的页面，否则显示正常页面。

最后造成的影响就是，例如百度：site:lcx.cc，所有原有页面快照都变成了攻击者的关键词（最典型的就是首页了，因为首页快照更新周期短、频率高，而且权重高），然后你点进去就会跳转到另外一个页面（攻击者挂马的页面）……

如果你不是从百度等搜索引擎点进去的，而是直接访问该网站，那是不会有任何异常现象的，所以该方法比较隐蔽…

暗链检测技术

现有安全软件对于恶意代码具有很好的检测能力，但是对于没有行为能力的恶意文本检测效果不佳。

下面是针对方式一的暗链技术，作出一种检测手段：

* 暗链指纹库的建立

暗链指纹库内，行与AC的URL库一样，分类收集暗链的特征信息，例如，博彩类可以有、博彩、时时彩、六和彩等等。

* 模拟浏览器爬虫的访问（user-agent、refer）

暗链最终的目的是针对搜索引擎的，这个需要模拟搜索引擎的访问，很多正常的浏览器访问是返回正常的链接的。

* 获取网页内各个浏览器标签为隐藏属性的标签

由于一个网站内包括一个或者多个网页，各网页可能包括一个或者多个链接地址，其中可能包括站内链接，站内链接所指向的地址仍然在该网站内，其被允许存在于该网站中，而对于不是站内链接的链接地址则需要通过进一步的检测，判断其是否是被允许存在于网站中的

* 域名判断

获取到具有隐藏属性的标签后从标签中提取其中包含的链接地址，根据链接地址的域名，判断其是否属于站内链接。

* 暗链的判断

获取的的域名不为站内的链接，则通过检测该链接地址是否符合暗链的特征，与暗链指纹库匹配，判断其是否属于暗链。

原文始发于微信公众号（菜鸟小新）：暗链详解之暗链技术手段及检测方法（下）