打造不死的asp木马
想不到,前几天我才发现,我千辛万苦收集的asp木马,居然没有几个不被Kill的。常说养马千日用马一时,可要是连马都养不好,用的时候可就头疼了。众多杀软中,查杀效果比较好厉害的就是瑞星跟NOD32(测试软件:瑞星2006、卡巴斯基反病毒6.0、Kv2006、NOD32 AntiVirus v2.51.30和McAfee VirusScan v8.0i)。 常用的是用微软的源码加密工具screnc.exe,以此来躲开杀毒软件的追杀。优点是见效明显,一般的有害代码用此法加密后,可以存在于服务器上,发挥原有的功能.缺点是代码经过加密后,是不可识别字符,自己也不认识了。 2.大小写转换法 把被杀程序里的代码,大小写稍作转换.可以躲过一般的杀毒软件。(WORD可以转换大小写,这招对ASPX木马免杀很管用)。 3.混水摸鱼法 这种方法也常奏效.fso写成"f"&vbs&"s"&vbs&"o",运行的结果是一样的,但文件却可以逃过杀毒软件的查杀。 4.图片法或组合法 把代码保存为*.jpg,引用<!--#include file="*.jpg"-->,这样,也可以躲过一劫.把很多个代码分配到1.asp,2.asp,3.asp...中,再通过#include合并起来,可逃过and条件的杀毒软件。 5.移位,逆位,添零法 这种方法也属于加密,可以用黑客伟跟冰狐的作品。 6.asp结构特征法 在程序开头跟结尾加上图片数据库之类的特征码,改变本身结构。无论是删除一些特征,还是颠倒顺序只要能正常使用即可。 以前用screnc.exe加密都被杀了,其实网上好多加密软件都是利用这个小东西加密的。看来这种方法现在是行不通了。现在比较流行的就是移位、逆位、添零等。有能力的朋友可以定位下杀毒软件的特征码或者自己编写修改。有时候把里边的东西文字改改换换位置跟语法也能躲过查杀。 其实我感觉破坏asp的结构性是最好的免杀方法。也看了许多文章,其中有在asp开头加入图片特征码躲过查杀,不过这种方法有的时候是没用的,于是便想起了可以改变成数据库结构。这种工具网上也有的,不过是用来欺骗动网后台备份的。 我以原版海阳顶端木马为例,首先把ASP木马合并成数据库(copy X.mdb+X.asp X.asp),使用杀毒软件查杀,可以躲过瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。唯独不能躲过NOD32查杀。这时候可以先用screnc.exe加密下在合并,这样NOD32也检测不出来了(图1)。最重要的是能正常使用不(图2)?答案是可以的。 图1
图3
1.其实开始部分插入图片代码也是可以的,这个用合并法或黑客伟的asp木马插入gif调用工具都可实现。 |
打造不死的asp木马相关推荐
- webshell中“不死僵尸”asp木马删除不了的解决方法
昨天用闲来无事用手机浏览博客,打开后发现竟然是个Webshell页面,密码还是默认的"amdin",果断上电脑上查看,却是可以正常打开博客,经检查发现原来是wap.asp文件被换成 ...
- 关于ASP木马提升权限
来源: http://www.17nc.com/ 现在ASP木马是漫天飞,我有一次进去后发现竟然用30多个ASP木马,在帮管理员清理了后,真是累爬了.想想管理员还真是懒的可以-- 上传了ASP木马之后 ...
- 动易如何预防ASP木马防止网页被黑
动易如何预防ASP木马防止网页被黑 -- 作者:927955 -- 发布时间:2006-8-11 1:05:22 -- 动易如何预防ASP木马防止网页被黑 想必很多虚拟主机用户都遇到过网页被篡改 ...
- 插入ASP代码让网站数据库成为ASP木马
很多时候我们可以通过在注册表单或者用户信息修改表单中,插入简短的ASP代码,使网站ASP数据库变成为一个ASP木马,然后进一步入侵控制服务器. 不过在上传代码过程中,许多网页程序都不允许包含〈%%〉标 ...
- ASP木马Webshell安全解决办案
注意:本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVER IIS5.0/IIS6.0 1.首先我们来看看一般ASP木马.We ...
- 突破常规限制运行asp木马(转)
突破常规限制运行asp木马(转)[@more@] 脚本入侵中往往会上传一个asp木马来进一步扩大权限,或者在肉鸡中留一个asp后门也是一个不错的选择.但是如何让asp木马更加隐匿和强大,从而躲过网管查 ...
- aspx连接mysql木马_让你变成ASP木马高手_安全教程_脚本之家
1.名称:如何制作图片ASP木马 (可显示图片) 建一个asp文件,内容为 找一个正常图片ating.jpg,插入一句话木马(比如冰狐的),用ultraedit进行hex编译,插入图片里,为 了运行成 ...
- 海阳顶端网php,海阳顶端网的ASP木马的一个漏洞和利用
希望LCX别看到这篇文章,呵呵 最近海洋不知道怎么回事,不能上了,我就发在这里了. 我粗粗的看了一下代码,发现了一个问题,可以得到木马的密码,变成自己的木马. 思路是通过提交的COOKIE来查看木马的 ...
- 几个常用的ASP木马
几个常用的ASP木马,功能就不用我介绍了,密码可以用过MD5解密,部分是明码可以在代码中找到!看着办吧,这几个木马部分杀毒软件免杀,自己试试哦! 附件:http://down.51cto.com/da ...
最新文章
- iOS常用动画 类封装
- 切换日期_2.4.14-切换时区分析
- java编译找不到符号_关于久违的Javac,编译出现“找不到符号”
- 成为一个优秀的前端工程师,其实你也可以!
- Android ListView中 每一项都有不同的布局
- location 定位软件fake_CVE-2020-23938:安博士杀毒软件TfFRegNt.SYS驱动 DOS漏洞分析
- lstrip在python中是什么意思_为什么氦气吸入后会变声?
- linux系统ip6tables怎么配置,ip6tables 基本配置
- 验证性因素分析AVE和CR值
- 前篇:1.公共技术点之面向对象六大原则
- 干净的国内系统镜像源
- java类注释格式模板
- Wechat----wxs
- JavaScript—数组—join()
- 扫地机器人杂牌的怎么样_扫地机器人贵的和便宜的之间有何区别?
- android平台从froyo 2.2开始支持jni单步调试了
- Android自定义九宫格手势解锁组件
- 进入Ubuntu的命令行模式
- JRebel 热部署
- Wowza Streaming Engine 4 配置mediacache功能(上)