网页挂马的攻击目标群体庞大,已经发展为传播最广泛,危害最严重的一种客户端攻击类型,而对网页挂马链的溯源定位和场景分析则是网页木马研究的重要基础和前提。本文将重点放在研究网页挂马链的溯源定位及场景重现技术上面,该技术可以有效地帮助我们进行网页挂马的分析和研究。本文首先介绍了网页挂马的机理,分析了网页挂马链和分发页面的特点,然后介绍了现今常见的检测手段,包括静态检测和动态检测技术。本文接着引出了网页挂马的溯源定位和场景重现技术,溯源定位技术就是根据被恶意攻击者挂马的网页,追溯其中包含的链接,抓取链接树的各个节点的相关信息并进行进一步的分析和追溯,最终得到整个链接树。而场景重现技术则是基于溯源定位技术之上的一个技术,它的目标是实现在某个特定时间以及某个特定的环境下,完整地将网页木马的攻击场景以及相关的数据保存下来,并且在之后的任何时间可以以设计好的形式将场景重新还原并展示出来。本文接着引入了网页动态视图的概念,通过网页动态视图的概念,我们可以找到进行溯源定位和场景重现的切实可行的办法。本文然后对本课题需要实现的网页挂马溯源定位和场景重现系统进行了需求分析和可行性验证,包括其中重要的溯源定位模块和场景重现模块。本文接着介绍了低交互的客户端蜜罐框架PhoneyC,深入分析了它的架构和功能函数,对它进行了一些测试。本文然后在PhoneyC的基础上进行了改造,构建了相应的数据结构,实现了内嵌链接的识别和递归分析以及脚本的自我解混淆,从而完成了溯源定位模块;然后基于轻量级关系型数据库SQLite和GUI框架wxPython,实现了网页动态视图的持久化和还原再现,从而完成了场景重现模块。溯源定位模块包括如下子模块:1)DOM模拟和告警子模块,2)页面解析子模块,3)脚本动态执行子模块,4)网页动态视图构造子模块;场景重现模块包括如下子模块:1)场景重现数据库,2)网页动态视图持久化子模块,3)网页动态视图恢复子模块,4)可视化界面。本文在上述两个模块的基础上开发完成了网页挂马链溯源定位及场景重现的原型系统。这个原型系统可以自动分析用户输入的Web页面,构建动态页面视图并予以可视化显示,从而支持对网页挂马的检测分析。这个原型系统具备以下这些特性:1)自动化,2)高效持久化,3)友好可视化,4)直观的结果展示。本文最后对该原型系统进行了相应的验证性测试和横向对比测试,测试结果表明,系统具有较强的识别能力和良好的场景展示和还原能力,可以有效存储网页场景,为分析网页挂马提供足够的帮助,也比类似的研究项目具有更强大的识别追踪能力。