部分代码：

以下是引用片段： invoke StrStr,addr @szGuangBo,CTXT("width=0 height=0></iframe>") .if eax!=NULL invoke MessageBox,0,STEXT("您访问的网站存在被挂马风险，是否还要浏览？"),CTXT("软站提示"),MB_YESNO or MB_ICONINFORMATION .if eax==IDNO mov hMuma,1 .endif .endif invoke StrStr,addr @szGuangBo,CTXT("window.open") .if eax!=NULL invoke MessageBox,0,CTXT("您访问的网站存在弹窗风险，是否还要浏览？"),CTXT("软站提示"),MB_YESNO or MB_ICONINFORMATION .if eax==IDNO mov hMuma,1 .endif .endif

根据源代码可以知道作者是通过分析网页代码来判断是否被挂马的，如：“width=0 height=0></iframe> ”一般挂马最终生成的页面代码中应该包括它，不过这不是绝对的，如果代码前后顺序颠倒一下应该就不可以了，我只是小编的简单思路，作者肯定不会有这么低级的思路错误，请大家放心使用，只是功能简单了些，如果能做成一个插件应用于IE或其它浏览器上就好了。