rainbowzc

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: :: :: 管理 ::
《黑客X档案》

作者:A1Pass

 

大家好,很高兴又与大家见面了,不知道大家对上期的文章是否满意,但是木马的免杀很多啊!可是我只介绍了可执行文件木马免杀这一种,而关于脚本木马的免杀只字未提,真是惭愧……

    在这篇文章里我会尽量补充上篇文章的不足,系统地介绍一下脚本木马的免杀方法。

    关于脚本木马的查杀原理与可执行文件木马大体相同,所以在这里就不再介绍杀毒软件的查杀原理了,不明白的朋友请查看07年第7期的《木马免杀全攻略》一文。

    但是毕竟脚本木马与可执行文件木马不是属于一个种类计算机语言的产物,所以也有许多不同的地方。关于脚步木马,从程序角度上来讲它应该是完全开源的,因此带给了我们很大的方便,我们只要懂得脚本语言,就可以去分析活动服务器文档。从而很容易学习到别人的编程思路。细心的朋友应该看出来了,我为什么叫“活动服务器文档”呢?我们从微软给它定义的名字就可已看出来所谓的脚本只不过是文档的一个超集,但是他的本质还是文档。

    而对于这个 “程序”完全开放的特性,所以它对于我们做免杀的网络安全爱好者来说更容易修改。因此就导致了传统杀毒软件对脚本木马查杀力度的疲软,从而出现了例如“思易ASP木马追捕”、“雷克图”等专杀程序的出现。

    介于此,本文将分为两个部分,分别教大家怎样针对传统杀毒软件以及专杀程序做有效的免杀。以便于大家理解。

 

一、        针对传统杀毒软件的免杀

    对于脚本木马的免杀工作,其实对免杀者的脚本语言基础是有一定的要求的,所以我由浅入深的为大家讲解,希望零基础的读者能跟的上。下面咱们先学习一下怎样使用工具进行免杀。

1.  加密免杀

    有免杀基础的朋友应该知道,免杀时针对可执行文件木马的加壳免杀方法吧?其实脚本也有自己的壳,但是鉴于脚本的开放性,所以他的壳对免杀来说效果可能不是很好,但是这终究是一种免杀方法。

    而对于ASP脚本的加密,目前比较流行的就是微软的screnc加密,当然还有别的加密方法,但也是万变不离其宗,今天我就先介绍几款ASP脚本的加密工具给大家用。

(1)      ASP木马加密免杀工具GUI版

    这款工具就是微软screnc加密的GUI版,因为原版的screnc加密工具是命令行下使用的,不方便刚入门的朋友学习,所以找了个Windows界面下的程序给大家。

    我们先用它为海阳顶端木马加密一下,打开“ASP木马加密免杀工具”后点击“选择源木马”按钮,在弹出的对话框中选择我们要加密的脚本木马(如图1),选择完毕后先点击“读取”,在点击“加密”按钮即可加密成功。很方便吧,点点鼠标就可以将ASP木马加密了。

 

我们看看加密后的木马变成什么样子了(如图2)。

这回神仙也看不懂了吧?神仙看不懂,杀毒软件当然也看不懂了。但是有一点需要大家注意,我们加密完成后需要测试一下脚本木马的功能是否完全正常,因为加密后的脚本木马可能导致变量、参数等不能完全还原。当然,在后面的免杀中大家也要注意到这一点。

(2)ASP木马加解密

    “ASP木马加密解密”是一款支持批量加密解密的软件,它的算法与微软screnc加密的算法不同,但是使用起来依然比较方便。我们只要选择ASP木马的所在文件夹,那么在这个文件夹下的所有木马都将被进行加密!所以大家在操作时注意备份。

    我们先将需要加密的ASP木马放入一个单独的文件夹里,然后打开程序,选择相应的文件夹,并选择“编码”选项,最后点击“执行批量转换”即可完成加密(如图3)。

(3)webshell免杀工具

    “webshell免杀工具”是一款采用特殊“算法”的加密工具,可以加密asp、jsp、php、cgi、aspx等不同脚本木马,而且加密完成后文件大小基本不变。而关于它的“算法”是多么特殊,我在本小节后面会向大家详细介绍。下面让我们一起看看它是怎么用的。

    打开工具后我们点击“文件打开/保存”按钮,选定我们的海阳木马后会谈出个提示对话框,叫我们选择输出路径(就是加密后木马的保存路径)(如图4)。

选择完毕后程序自动开始加密,由于加密速度较慢,配置低的电脑中间可能会出现假死状态,我们需要稍等一会。大概过1分钟左右加密就会完成。

    为什么这款工具可以加密几乎所有脚本木马呢?大家再回头看看本小节的第一句话,我在算法这一词上加了双引号,也就是说这根本就不是什么算法,其实只不过是简单的大小写字母替换而已,除此之外,还会对ASP等脚本的对象进行拆分。有的朋友要问了,“‘对象’是什么意思?什么又是‘变量’呢?”不要急,我会在文章后面详细介绍的。

 

2.特征码免杀

    就目前看来,只要是针对木马的免杀工作,就一定少不了与特征码打交道。特别是对于针对传统杀毒软件的免杀更是显得尤为重要。

    下面我们回到特征码的问题,由于脚本木马里出现的一切字符都会在原文件里出现,所以第一步要做的就是更改版权,将木马“个人化”从而达到一定的免杀效果。由于现在我们用的ASP脚本牧马大多数都是中文的,所以各位不懂脚本的朋友可以暂时不用考虑语法与程序逻辑问题,见到中文尽管改就可以。但是怎么改呢?其实简单的很,我们在脚本文件上单击右键,再弹出的菜单里选择“属性”,然后在对话框中的“常规”选项卡里单击“更改”按钮,在弹出的新窗口中选择“文本文档”,最后点击“确定”即可(如图5)。

设置完毕后图标会变成类似于文本文档的图标(如图6),以后我们只要双击脚本文件就会自动用文本文档打开。因此可以使得我们的免杀工作更加便捷。

    但是杀毒软件总不能只将特征码定义在中文里呀,所以我们还要考虑有针对性的更改特征码,从而真正达到免杀的目的。

(1)针对性免杀

    对于我们脚本木马免杀,找特征码算是一件比较令人头痛的事,这里我简单给大家介绍一下思路。叫做“切割”法。

    我们拿到一个脚本木马后需要先将他“切割”,也就是将里面的代码分成几部分,然后分别保存在文本文档里,并将后缀名改为“.asp”,最后用杀毒软件查杀即可。

    如果哪个文件被杀,就说明它里面含有特征码。那么我们就将这个被杀的文件进行再次分割后查杀,如果还有被杀的文件,那么就在次重复这一过程,直到我们发现里面的特征码为止。

    这里给大家举个例子以方便理解。如果我们要为一个木马做免杀,那么就先把木马文件的代码平均分成十份,并分别命名为1.asp、2.asp……10.asp(如图7)。

假如查杀后我们发现2.asp被杀,那么我们删除其他的,再将2.asp分成21.asp、22.asp、23.sap……20.sap(如图8),又发现23.asp被杀,下面我们在将23.asp分成十份,然后重复上面的步骤……直到我们最后找出目标足够小的文件,然后有选择的将一些代码进行大小写替换,那么就可以确定究竟哪里是特征码了。

    这种方法虽然麻烦,但是特征码收集多了以后我们就能在其中找到一定的规律,对我们以后的免杀有利。

(2)宽泛性免杀

    对于木马的免杀,除了找特征码外,其实还可以无目的替换代码的大小写,以达到免杀目的。大家都知道Windows操作系统对大小写不敏感,而杀毒软件对大小写是非常敏感的,然而值得庆幸的是,运行于Windows操作系统的脚本同样对大小写不敏感。还记得我们上面讲的那个什么都能加密得软件吗?其实他利用的原理就是这种大小写替换的方法。但是虽然都是大小写的替换,然而这款加密程序利用的是宽泛性免杀方法。

    那么究竟什么是宽泛性免杀呢?其实宽泛性免杀就是指无目的随意替换脚本文件里代码的大小写、在对象中在、插入空变量,从而起到免杀的效果。虽然理论上Windows对大小写不敏感,但是由于一般的脚本木马逻辑性比较强,过分更改代码的大小写还是会导致程序运行异常。另外需要大家注意的就是,不一定经过宽泛性面杀的脚本木马就一定能起到免杀的效果。其实宽泛性免杀要与针对性免杀结合起来效果才够好。那么究竟怎样进行宽泛性面杀呢?

    宽泛性面杀进行的第一步就是选择操作方法,你可以选择将全部字母替换成大写或只替换一部分字母的大小写,也可以专门替换一些声明的变量或对象。当然我们一般会同时应用这两种方法。

    关于前一种方法由于操作简便,只是替换的问题,相信大家都会,所以下面我们主要介绍一下关于变量与对象替换方法。

    要想对其进行替换,自然要知道什么是变量与对象。我们先看看下面一段代码。

 

<%     //脚本开始标记

dim FSOFIL     //声明变量FSOFIL                                                                                                                                                                                                                                                                                                                                                    

dim Fildata     //声明变量Fildata

dim CountFil     //声明变量CountFil

on error resume next

Set FSOFIL = Server.CreateObject("Scripting.FileSystemObject")     //调用Scripting组建的FileSystemObject对象

if Trim(request("syfdpath"))<>"" then     //先过滤变量syfdpath两边的空格,并判断变量内容是否为空。

Fildata = request("cyfddata")     //将取得变量cyfddata的值去掉两边的空格后赋值给变量Fildata

Set CountFil=FSOFIL.CreateTextFile(request("syfdpath"),True)

CountFil.Write Fildata

if err =0 then

response.write "<font color=red>save Success!</font>"

else

response.write "<font color=red>Save UnSuccess!</font>"

end if

err.clear

end if

…………

…………

%>     //脚本结束标记

    这就是著名小马“day.asp”的部分源码,大家看的时候主要注意里面的变量与对象。对于不懂脚本的朋友,我们可以初步的认为凡是关键字dim后面跟着的就是变量(注意前三行代码),而且关键字dim后面可以跟一个变量,也可以跟多个变量。当后面跟多个变量时要用“,”隔开,例如:dim FSOFIL, Fildata, CountFil

    这句代码与上面的前三句是等价的。

    那么我们又怎样区分对象呢?我们可以找他的关键字Server.CreateObject("xxxx.xxx"),关键字括号中的“xxxx.xxx”就是要调用的对象。例如我们上面的Server.CreateObject("Scripting.FileSystemObject")所调用的就是Scripting.FileSystemObject这个对象。通过以上的讲解大家应该能看得出来,其实如果能记住脚本的关键字,那么就能看懂简单的脚本代码,所以希望刚入门的朋友能学会脚本的基础知识……知道这些后我们就可以试着改这些变量与对象了。

    关于变量我们可以随便改,因为这些变量都是程序员自定义的,例如我们看着FSOFIL这个变量不爽,那么我们就可以将它改成HackerXFiles或A1Pass,替换完毕后如果不出意外都是可以正常运行的,关于替换大小写的问题就更不用说了。

而对象我们就不能随便改了,因为它引用的是系统组件,与关键字有些相近。那我们就只能对他进行大小写替换了吗?当然不是!除此之外还有一种方法,就是我们可以往对象里插入空变量,例如我们想在”ABCD”这个组建中插入空变量123,那么插入完毕后就是”AB”&”1234”&”CD”,就是说在空变量两边加上”&”,然后将其插入到变量里,但是当程序运行到这里时,由于1234是空变量,也就是代表什么都没有,所以真正的执行结果还是”ABCD”。下面我们就对Set FSOFIL = Server.CreateObject("Scripting.FileSystemObject")这句代码进行更改为例,演示一下具体的更改方法。

通过上面的知识可以知道Server.CreateObject("xxxx.xxxx")是关键字,那么里面的Scripting.FileSystemObject自然就是对象了,下面我们就可以往里面插入诸如“A1Pass”等未声明的变量,并用连接符“&”或“+”号连接连起来,而且这样改过后的意义不变。改完后就是Set FSOFIL = Server.CreateObject("Scri”& “A1Pass”&”pting.FileSyste”& “A1Pass”&”mObject"),说白了就是随便插入诸如”& “A1Pass”&”这样的字符。这样的话虽然意义不变,但是杀毒软件就识别不出来了,所以就能起到免杀的效果了(如图9)。

有的朋友可能会想到插连接符的方法,我们可以直接在对象里直接插入连接符“&”或“+”,同样可以打乱顺序,而且比较省事。但是不幸的是已经有杀毒软件可以识别这种无效的连接符了,并且可以直接将其替换,所以还是费点事比较好。因为免杀就是体力活,你省事,杀毒软件更省事……

 

3.其他方法免杀

    以上两种免杀方法都是比较传统的,但是作为一个合格的黑客,就要做到不走寻常路!要知道最好的方法永远都还未出现!所以要学会怀疑,学会探索。下面我就为大家介绍一下其它的免杀方法。

(1)数据库合并法

    根据题目就可以看得出来,我们是通过将asp木马与数据库合并到一起来达到免杀的目的。但是为什么与数据库合并到一起就能起到免杀的作用呢?我们都知道现在的病毒木马多的不计其数,种类也是多种多样,就拿我们大家所熟悉的木马来说,就分为脚本木马与可执行文件木马这两种。大家有兴趣的话可以试试,我们就算将木马的后缀名改掉依然会被查杀!有的朋友要问了,改完后缀名连Windows都认不出来了,可杀毒软件为什么依然认得出来?这是因为杀毒软件是靠文件头来确认文件性质的,其实这也不是多复杂的功能,例如我们的CMD就有这个功能,只是没杀毒软件强大而以。

    而一般的杀毒软件为了提高扫描速度会给病毒归类,例如如果扫到一个脚本,就会用脚本类病毒库里的特征码进行扫描,扫倒可执行文件时就用可执行文件病毒库里的特征码进行扫描。看到这大家也许都明白了,如果我们把asp木马与数据库合并到一起的话,那么杀毒软件就会将这个文件当作数据库文件来扫描,从而调用针数据库文件的病毒库,所以达到免杀的目的。明白原理后操作就简单了。这里我给大家推荐一个叫做“数据库木马合并器”的工具,它使得我们的免杀操作更加简便,而且省去了新建数据库的烦恼。

    “数据库木马合并器”的使用方法很简单,只要选择我们的木马程序,然后点击“合并”按钮(如图10)。

然后选择保存路径即可完成工作(如图11)。是不是简单的很?

(2)UNICOAD法

    除此之外,我们还可以使用UNICOAD编码将木马变形,而且操作方法十份方便,甚至连额外的工具都不用!大家看我操作。

    我们先新建一个文本文档,然后按[Ctrl]+[O]快捷键,在弹出窗口中的“文件类型”下拉框中选择“所有文件”,然后在“编码”下拉框中选择“Unicode”(如图12)。

最后打开我们的一句话木马,效果如图13所示。

我们先将其复制,然后关闭文本文档在重新将其打开,并将这段字符复制进去,开始保存后也许会出现一个对话框(如图14),我们选“是”即可,不过就我的经验来看,如果出现这个对话框,那么保存的代码就一定会出现问题。就这样,我们的木马变形便完成了。

另外需要注意的是,使用这个方法时我们要注意,如果保存后出现“?”号是不可以的。

但是如果出现以上情况我们该怎么办呢?首先我针对出现如图14提示框的情况给大家讲一下解决办法。

如果出现提示框后我们常规保存出现了问题,那么我们在在重新保存一次,当提示框出现时先点击“否”,此时会弹出一个对话框,叫我们选择文件另存为的路径。我们这时先把下面的编码换为“UNICOAD”型(如图15),然后我们在进行保存,一般情况下就可以解决问题。

除此之外我们还可以用WINHEX帮忙,这里我给大家提供一句话木马<%eval(request("#"))%>的16进制编码,

FF FE 3C 25 65 76 61 6C 28 72 65 71 75 65 73 74 28 22 23 22 29 29 25 3E

我们先新建个文本文档,然后按快捷键[Ctrl]+[O]找到新建的文档,并用WINHEX将其打开(如图16)。

然后将上面的16进制代码输入到WINHEX里(如图17),最后按快捷键[Ctrl]+[S]保存即可。

(3)位移、逆位法

    关于位移法第一次出现是在X档案04年的第9期,当时看了那叫爽啊!一点没看懂……现在看起来无非就是用escape和unescape函数实现的,但是考虑到初学者,我还是给大家介绍一下工具的用法吧。

关于这种加密方法的效果绝对是一流的!虽然难点,但是你研究透以后保你乐的1分钟喝不上嘴!所以大家打起精神来啊!

我们先看看两种方法的加密效果(如图18),通过图片我们可以看出来,所谓的逆位法就是将脚本木马的代码都倒了过来,而位移法则是使字母变成另外一个可显示的符号,而汉字并没有变化。所以相对来说还是逆位法加密效果比较好。

我们在使用工具加密前,需要先懂得怎样筛选代码。其实很简单的,我们只要选定一个语句块即可,例如sub语句块或if语句块。但是怎样区分呢?这里叫大家一个笨法,我们先打开脚本木马,然后单击菜单栏里的“查看”,并选择“状态栏”完成设置(如图19)。

假如你想加密sub语句快,我们打开木马后先按[Ctrl]+[F]调出查找对话框,搜索方向选择“向下”(如图20)。

接下来查找sub。找到后我们注意文本文档下边的状态栏(如图21)。

显示这个sub关键字的位置是从30行的第2个字符开始的,这里我们只要记住行数即可。下面我们再用同样的方法搜索end sub,找到后注意他的行号,我这里是53。现在我们就可以断定,在第30-53行之间就是一个sub语句块。我们把这段代码复制到一个新的文本文档里,单击菜单栏上的“文件”,选择“另存为…”,在新弹出的对话框里的保存类型选择所有类型,最后另存为.asp的格式即可(如图22)。

    下面我们打开一个提供逆位、位移加密的软件“加密最终版”,点击“选择”按钮选择我们的刚保存的文件,然后选好加密方式后点击加密就可以了(如图23)。

加密完成后我们需要再对加密好的文件做一下处理,去掉最前面的“<%”与最后面的“%>”,然后将我们开始选择的语句块在原文件中删除掉,将我们加密后的代码复制到这里将其替换掉,最后保存即可(如图24)。

    到这里我们就完成了一个语句块的加密。有的朋友可能有疑问,为什么我们不干脆将整个脚本木马加密呢?这样做当然也是可以的,但是成功率实在是不高,所以我们还是应该将含有特征码的语句段用这种方法加密比较明智。

(4)一句话木马

    为什么说一句话木马?因为一句话木马是不会被传统杀毒软件查杀的!不信?你试试……呵呵!

    到这里,有关于针对传统杀毒软件的免杀就算结束了,相信看完文章的朋友一定觉得针对传统杀毒软件做免杀还是比较容易的一件事情,只要大家学会使用上面的方法,那么过传统杀毒软件绝对是易如反掌!下面我们再来攻破一个难关,针对专杀工具的免杀。

二、针对专杀工具的免杀

    这里所谓的专杀工具就是指“思易ASP木马追捕”、“雷克图”等通过分析脚本文件所调用参数的可疑程度,从而辅助管理员查杀脚本木马的工具,他们大多数自己本身就是一个脚本文件。那么它又是通过什么来查找某个脚本文件所调用的函数呢?

    不知通过上面的学习大家还是否记得脚本文件调用组建的内容,我们的脚本只要想完成一些涉及到其他文件或系统的工作,就一定要调用相应的组建。例如我们上面的例子代码就调用了系统的FSO组建,中间括号里的Scripting.FileSystemObject便是FSO组建的特征,所以专杀工具只要扫描那些文件里有这些代码就可以判定它调用了什么组建。然而我们的脚本木马几乎是与系统打交道的,所以如果我们的木马被专杀工具扫到的话,那么后果可想而知,数个脚本木马特征集合到一个文件上,只要那个网管不是超级菜鸟的话就会毫不留情的删掉我们的木马!那么我们应该怎么办呢?

    为了节省篇幅,并鉴于免杀的共性,我们在这里就不重复上面一节里所讲过的内容,只做一个可行性的分析。

    首先是加密免杀,对于用软件加密的后果其实是非常严重的!专杀程序会提醒“似乎脚本被加密了” (如图25)也有提醒“该程序以被加密,但是一般的脚本是不会加密的”,什么意思?就是说我们的木马不是一般程序呗!后果自然不言而喻……

    其次是特征码免杀,如果我们找专杀工具的特征码,无疑就是一些组建调用的名称与一些加密特征,假如我们没加密,而且将组件调用的名称都用空变量法替换的话,这样确实会收到很好的效果。但是还有一个致命的缺点,我们不可能替换所有相关的特征码,有的特征码替换后木马就会运行错误!而且对于这种情况,功能越强大的木马就越明显,特别是针对海阳木马(如图26)。

    最后就剩下“针对传统杀毒软件免杀”里的“其他方法”了,经过我的实验,数据库合并法与UNICOAD法毫无用处,几乎不会对专杀产生任何障碍!而位移、逆位法还有点可取之处,基本上加密后就剩一两个可疑特性了,其实很多普通文件也有所谓的可疑特性,所以说效果还算可以,但是不完美。

    而最后的一句话木马不用我说,赤裸裸的一句话,更不可能躲过专杀的魔掌了……

    那么我们怎样对付专杀呢?根据我的了解,目前对付专杀的方法有两种,一是利用Windows的一个目录漏洞,另外就是通过调用别的文件躲过专杀。

    关于目录漏洞也许大家都听说过,我们在DOS下执行一个建立目录的命令例如:

C:\>md a1pass..\

    就会建立一个名称为“a1pass.”目录,而这个目录对于Windows来说是不存在的,自然基于Windows的杀毒软件以及专杀工具都找不到我们的木马,被杀也就无从谈起了……

但是!但是建立这个目录是需要系统管理员权限的……

另外一个方法就是调用图片,当然,那是个特殊的图片,里面含有我们的木马代码。我在桌面上按快捷键[Win]+[R],再弹出的“运行”对话框中输入CMD(如图27)。

从而进入DOS,下面将一个GIF格式的图片与我们的一句话木马放到C:\下(如图28)。

然后我们依次执行DOS命令“CD \”与“copy 1.gif /b + 1.asp /a 2.gif”(如图29),从而将1.gif与1.asp合成为2.gif。有的朋友要问了,必须是GIF格式的图片才可以吗?其实不是的,只要是图片就可以。

这个特殊的图片做好了,以后我们在别的ASP页面上用<!--include file=”xxx/xxx/2.gif”-->这句代码来调用这个特殊的图片就可以了,其中的“xxx/xxx/2.gif”指的是我们的这个特殊图片在服务器上的位置。而连接的时候我们直接连接调用图片的ASP文件就可以了。但是还有一点大家需要注意,某些专杀程序当扫描到含有我们调用代码的文件时,就会提示管理员这个脚本调用了我们的那个图片,如果管理员对那个文件比较熟悉的话,就会察觉出存在问题,因此也是比较危险的。

所以综合来说,针对专杀工具,没有绝对有效的方法,我们所能做的就是将我们木马的疑点尽可能降至最小,以使管理员忽略。

三、小论网页牧马的免杀

网页木马我个人是比较排斥的,到现在了,还没给哪个网站挂过马呢!不信?你问问Sagi是真的不?

网页木马的主体就是HTML,但是HTML只是一种标记语言,所以免杀还是比较好做的,不过网马还要涉及到JavaScript与VBScript,所以做起免杀来还是比较有意思的。

网马也是木马,当然也存在特征码,网马找特征码的方法与脚本木马是一模一样的,所以这里就不在浪费笔墨了,下面我简单的为大家介绍一下工具免杀的方法,方便小菜快速入门。

1.HTML混淆器

HTML混淆器是一款为HTML进行加密的工具,当然还可以对JavaScript与VBScript进行加密。而且它还有一个优点,就是可以多次加密!这有点像我们文件免杀里的freeRes的功能,所以免杀效果还是不错的。

我们打开HTML混淆器后点击“…”按钮选择我们要加密的HTML文件(如图30)。

混淆度就默认10即可,然后我们点击“生成”按钮即可完成加密。如果加密完毕后没有达到免杀的效果,我们还可以进行第二次加密,直到不被查杀为止,这个可能刚入门的朋友没注意到。

2. 蓝星网页加解密专家

这是一款专门为HTML文件进行加密的工具,号称是“转换为HTML为不可识别字符的最好方法”!下面让我们来见识一下这款软件。

打开软件后我们先点击“操作”按钮(如图31),然后点击“添加文件”按钮添加我们要加密的HTML文件,如果需要批量转换,可以点击“添加路径”按钮。选择好后我们点击“开始加密”即可。

3. 网页木马压缩器

不知道大家发现没有,以上两个加密工具加密完成后会使我们的网页木马体积变大,现在,我在为大家介绍一款网页木马的压缩工具。

我们打开“网页木马压缩器”后单击“添加文件”按钮,在弹出的对话框中选择我们要加密压缩的文件,这里大家要注意“文件类型”选项(如图32)。

因为网页文件是分为*.html与*.htm两种的。然后点击“开始压缩”按钮就开始压缩了,我们看看研所完毕后的效果如图33。

但是除了是用工具就没有别的方法了吗?当然不是!方法多了去了!但是作为一个合格的黑客,一定要学会自己分析问题,下面我们就教大家怎样应用已有的知识来解决新的问题,学名叫“思维发散”,呵呵!

首先,我们要分析新面临的网页木马与脚本木马有什么异同,也就是说我们应该怎样将几经掌握的脚本木马的免杀技术转移到网页木马上来。

通过查找资料与分析,我们知道网页木马的HTML与VBScript也是不分大小写的,但是JavaScript对大小写敏感。而且还发现VBScript与ASP脚本有非常多的共同点!

下面我们就根据我们学过的知识来构建我们的解决方案。

首先,我们知道针对脚本木马的免杀方法分为传统免杀与专杀免杀,由于网页木马还没有专杀工具出现,所以专杀免杀先被排除。那么剩下的传统免杀方法有哪些适合我们呢?加密免杀与特征码免杀几乎可以针对任何木马,所以保留。而那个“其他方法免杀”针对性太强,几乎只适合脚本木马,所以“其他方法免杀”也被淘汰了那么就剩下加密免杀与特征码免杀了。

确定了方法,下一步就是“改造”我们的方法。例如对大小写不敏感的我们可以利用脚本木马免杀的大小写替换方法,但是应该注意碰到JavaScript不能替换。而且VBScript与ASP脚本有非常多的共同点,所以我们完全可以用脚本木马免杀的替换变量与对象的方法来改造我们的VBScript。而加密工具当然要找专门为HTML或JavaScript与VBScript加密的软件。

剩下的就是我们动手操作了。

也就是说总共分为如图34那几步。

到这里,关于木马的免杀就告一段落了,我在文章最后介绍的方法非常重要,它告诉你应该怎样应用已知的知识来提高自己,不一定是免杀,同样还适用于很多方面。

     关于脚本木马方面的免杀技巧就是这些。本文不可能对所有免杀方法一一介绍到,有什么错误与不足还请有兴趣的朋友指正!另外如果你有新的免杀方法同样欢迎交流!有意的朋友可到黑客X档案的论坛找我,我的ID是a1pass。

 

posted on 2008-10-21 12:30  ct  阅读(2697)  评论(0编辑  收藏  举报