admin 管理员组文章数量: 1087652
2024年12月28日发(作者:中文java)
常见的ASP木马免杀方法-电脑资料
1.加密法
常用的是用微软的源码加密工具,以此来躲开杀毒软
件的追杀,
。优点是见效明显,一般的有害代码用此法加密后,可以存在于
服务器上,发挥原有的功能.缺点是代码经过加密后,是不可识别字符,
自己也不认识了。
2.大小写转换法
把被杀程序里的代码,大小写稍作转换.可以躲过一般的杀毒软件。
(WORD可以转换大小写,这招对ASPX木马免杀很管用)。
3.混水摸鱼法
这种方法也常奏效.fso写成"f"&vbs&"s"&vbs&"o",运行的结果
是一样的,但文件却可以逃过杀毒软件的查杀。
4.图片法或组合法
把代码保存为*.jpg,引用,这样,也可以躲过一劫.把很多个代码分
配到,,...中,再通过#include合并起来,可逃过and
条件的杀毒软件。
5.移位,逆位,添零法
这种方法也属于加密,可以用 伟跟冰狐的作品。
结构特征法
在程序开头跟结尾加上图片数据库之类的特征码,改变本身结构。
无论是删除一些特征,还是颠倒顺序只要能正常使用即可。
以前用加密都被杀了,其实网上好多加密软件都是利
用这个小东西加密的。看来这种方法现在是行不通了。现在比较流行
的就是移位、逆位、添零等。有能力的朋友可以定位下杀毒软件的特
征码或者自己编写修改。有时候把里边的东西文字改改换换位置跟语
法也能躲过查杀。
其实我感觉破坏asp的结构性是最好的免杀方法。也看了许多文
章,其中有在asp开头加入图片特征码躲过查杀,不过这种方法有的
时候是没用的,于是便想起了可以改变成数据库结构。这种工具网上
也有的,不过是用来欺骗动网后台备份的。
我以原版海阳顶端木马为例,首先把ASP木马合并成数据库
(copy + ),使用杀毒软件查杀,可以躲过瑞星
2006、卡巴斯基反病毒6.0、Kv2006、McAfee。唯独不能躲过
NOD32查杀,
电脑资料
《常见的ASP木马免杀方法》(www.)。这时候可以先用
加密下在合并,这样NOD32也检测不出来了。最重要的
是能正常使用不。
修改脚本特征码法:
信息来源: 文章作者:tankaiha
2005年是免杀技术突飞猛进的一年,越来越多的人熟悉了简单的
PE文件免杀操作。而杀毒软件也是在查杀方面下足了功夫,使得修改
文件变得越来越困难。但是,无论定位和修改多么麻烦,只要杀软利
用的是特征码扫描,PE文件就可以通过相对简单的特征码修改达到免
杀。而CCL一直没有涉足的方面是脚本免杀,坛里也有朋友让我改进
一下,因此最近给CCL加上了定位脚本特征码的功能,并对一款asp
木马进行了测试,结果怎么样呢?
这里我选择了海阳顶端网ASP木马2006版。由于并不知道杀软
是怎样定义脚本文件的特征码,所以我的操作与定位PE文件相同。杀
软仍用大名鼎鼎 Kaspersky。先查一下吧,卡巴报警发现
。注意末尾的aw,这是杀软对同一个文件不同
版本的特征码定义,有时我们需要运用定位过程中版本号的变化来确
定特征码的位置。
首先假设将特征码定位器CCL设置成手动定位,生成文件200个,
打开海洋的木马主文件。这时弹出了定位范围选择窗口,由
于脚本文件不是PE文件,因此没有分段,整个文件就是一个整体。如
图1所示,段名为整个文件,段大小就是整个文件的大小。
直接点确定,对整个文件进行定位。生成文件完毕后对目标进行
查杀,结果,只剩下一个文件没有被杀,OUT_00000000_000001C3,
这说明当从偏移0开始1C3个字节的数据被填0时,该文件免杀。我
们这里是什么。
代码:
程序代码
脚本文件我不太熟,但总比改汇编指令简单,试着修改一下吧,
原则还是不能破坏原文件功能。我们知道,asp中代码是在之间的,
于是我们在每一个前插入一个,就像汇编插入nop空指令一样。保存
修改,再用卡巴查一下。还是报警,但是这次显示的是
.w。这就说明:我们刚才修改是特征码中的一处,
但不是全部,也就是说我们把aw中的a代表的特征码改掉了,但是w
仍然在。
我们再用CCL打开修改过的,设置保持不变,再重复上
述步骤。经过查杀后,200个文件剩下了6个。
下载文档
版权声明:本文标题:常见的ASP木马免杀方法-电脑资料 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1735403995a1659408.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论