中级预防。利用 Javascript 函数通过引入后缀、前缀以及混淆 Zeus 僵尸网络未
记录的 GET 请求，实现变量名篡改。这种手法使得我们能利用 Javascript 文件向客
户端传递混淆函数，并在僵尸网络日志内不留下任何痕迹。当受感染用户点击 submit
按钮向主控机传递消息时，所有表单参数会被 GET 请求传送的混淆函数进行混淆加工
处理，然后转成一个隐藏；同时清空其它表单域值或者赋值错误的数据，并发送正常
的 post 请求。此时虽然 Zeus 仍然会记录所有提交的数据，但数据已经提前混淆化或
被篡改。当然，银行服务端代码为了正确获取客户端提交的数据，也必须对混淆后的
数据进行解析，基于这个原因，我们需要对银行 server 端增加计算负荷能力，

由于银行 server 端可提供混淆处理函数，并能动态变化，而且函数还可从一个
巨大的库函数中随意提取，随机的选择混淆函数实现数据的模糊化，主控机将无法有
规则地转译出有效信息。例如，可使用以下正则表达式实现替换，“5 == #”，“2 == %”.
此时我们已经有了一些混淆函数，此时需要在表单提交时派上用场，需确保混淆代码
在 onclick 事件触发时运行。

上述正则表达式的替换运行使得主控机很难解析混淆后的数据，但对于银行
Server 端而言，则只是一个正则表达式的简单替换而已。
高级预防。运用带时延的 AJAX 函数动态生成表单元素，并在 post 请求里使用对
称加密函数加密处理。进一步，还可伪造一个后提交函数，在真实数据内夹杂伪造数
据，使 C&C 数据库日志很难理解。然而，银行 Server 端因为事先就知道混淆函数及
各种变换规则，故可轻易地过滤到伪造数据，并成功解密数据，下面将给出具体实现
方式。
 带时延的 AJAX 请求——无日志方式。
若我们编写带时延且动态产生表单元素的 AJAX 请求，则 Zeus 僵尸并不会产生日
志。显然，在没有产生日志的情形下，键盘记录器 keylogger 则无法收集数据，C&C
Server 更是无法从 victim 主机提取数据。给出了一种动态产生表单元素的方式，   

并借助 AJAX 请求，将其发送到银行 server 端。此实验是笔者在分析 Zeus bot 时发
现，当然在未来某个时间点，也不排除僵尸网络设计者优化 keylogger 程序，使其具
有捕获带时延的 AJAX 请求功能，尽管如此下面我们引入下面提出两种技术以增加日
志分析障碍。  

表 4 中使用 XMLHttpRequest 对象调用 open 方法，指定 url、post 方法和异步发
送命令将请求发送到指定 url，然后调用 setRequestHeader 方法发送一个 HTTP 协议
的头文件请求 server 端需要下载的页面，随后设置使用 onreadystatechange 注册事
件处理器，当请求完成加载（readyState 值为 4）即 server 端完成 setRequestHeader
方法的请求后，将触发 function 函数的调用。
（2）使用 AJAX post 请求方法混入伪数据
AJAX 函数可用来向银行 server 发送伪数据，通过一定的规则约定，银行 server
可忽略这些信息，但对僵尸网络而已却增加了大量无用信息。如，使用 Javascript
在 form 表单变量中混合信息，不仅增加了僵尸网络萃取有效信息的工作量，而且还
对数据的破译能力提出了挑战。这种方式破坏了僵尸网络的日志文件结构，此外还可