通常的网上木马几个固定的代码，没有太多的变化，包括脚本代码的加密，几乎所有的解释类型的加密，黑客挂马中止的进程，该木马自动分析页面上的外国人也有大幅结果。国内自动化网络，我已经看到了马分析系统知道创宇，360安全卫士和安全标识，其他主要的反病毒安全公司，包括国内的，也应该有其自己的一套网马。

　　木马自动分析需要一个良好的网页分析系统，分别在页面和脚本的内容，同时要求模拟的脚本解释引擎和沙箱环境中的各种静态元素资源。我只说下我的两个想法：

　　纯粹的静态分析

　　只需取得页面的静态内容，只需要使用正规比赛的HTML内容和脚本内容，直接分析HTML内容，其余的将脚本的内容分开，把脚本解释引擎，当然，这里一些瓶颈，但我们可以改变的脚本解释引擎，暂停出售一些网马使用的主要功能是不困难的，分别对象，重点内容的shellcode。的javascript解释引擎蜘蛛猴，当然，这件事有一个致命的缺陷，如果黑客使用VBScript或包代码到FLASH和其他静态代码文件的内容来执行脚本的话，就很难重新暂停自动分析。

　　2沙盒

　　由于第一种方法的缺点，我们仍然可以使用沙箱网马成真正的读者抛出运行，但我们要求使用的老记第一运输使用的理由的几个关键功能的脚本之前，类似的以下脚本断点，输出的重点内容，或脚本中止分析行为。 IE浏览器，我们可以使用COM钩，法郎，这样并不需要完整的气体，我们可以直接使用Greaseamonkey的插件。

　　这些都只是一个幌子，两个小想法，并没有触及的理论内容。我也慢慢摸索的“黑客”挂马肯定会更先进的，我喜欢的沙盘分析。