打造不死的asp木馬

打造不死的asp木馬

想不到，前幾天我才發現，我千辛萬苦收集的asp木馬，居然沒有幾個不被Kill的。常說養馬千日用馬一時，可要是連馬都養不好，用的時候可就頭疼了。衆多殺軟中，查殺效果比較好厲害的就是瑞星跟NOD32（測試軟件:瑞星2006、卡巴斯基反病毒6.0、Kv2006、NOD32 AntiVirus v2.51.30和McAfee VirusScan v8.0i）。
    
    來看一下幾種比較常見的ASP木馬免殺方法：
    
    1.加密法

    常用的是用微軟的源碼加密工具screnc.exe，以此來躲開殺毒軟件的追殺。優點是見效明顯，一般的有害代碼用此法加密後，可以存在於服務器上，發揮原有的功能.缺點是代碼經過加密後，是不可識別字符，自己也不認識了。

    2.大小寫轉換法

    把被殺程序裏的代碼，大小寫稍作轉換.可以躲過一般的殺毒軟件。（WORD可以轉換大小寫，這招對ASPX木馬免殺很管用）。

    3.混水摸魚法

    這種方法也常奏效.fso寫成"f"&vbs&"s"&vbs&"o"，運行的結果是一樣的，但文件卻可以逃過殺毒軟件的查殺。

    4.圖片法或組合法

    把代碼保存爲*.jpg,引用<!--#include file="*.jpg"-->,這樣，也可以躲過一劫.把很多個代碼分配到1.asp,2.asp,3.asp...中，再通過#include合併起來，可逃過and條件的殺毒軟件。 

    5.移位,逆位,添零法

    這種方法也屬於加密，可以用黑客偉跟冰狐的作品。

    6.asp結構特徵法

    在程序開頭跟結尾加上圖片數據庫之類的特徵碼，改變本身結構。無論是刪除一些特徵，還是顛倒順序只要能正常使用即可。

    以前用screnc.exe加密都被殺了，其實網上好多加密軟件都是利用這個小東西加密的。看來這種方法現在是行不通了。現在比較流行的就是移位、逆位、添零等。有能力的朋友可以定位下殺毒軟件的特徵碼或者自己編寫修改。有時候把裏邊的東西文字改改換換位置跟語法也能躲過查殺。

    其實我感覺破壞asp的結構性是最好的免殺方法。也看了許多文章，其中有在asp開頭加入圖片特徵碼躲過查殺，不過這種方法有的時候是沒用的，於是便想起了可以改變成數據庫結構。這種工具網上也有的，不過是用來欺騙動網後臺備份的。

    我以原版海陽頂端木馬爲例，首先把ASP木馬合併成數據庫（copy X.mdb+X.asp X.asp），使用殺毒軟件查殺，可以躲過瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。唯獨不能躲過NOD32查殺。這時候可以先用screnc.exe加密下在合併，這樣NOD32也檢測不出來了（圖1）。最重要的是能正常使用不（圖2）？答案是可以的。

    圖1


圖2



 這一系列的操作很是煩瑣，所以我寫了個小程序來簡化操作。就是把未加密的asp木馬改名爲a.asp，然後運行msasp.exe程序就可以了（圖3、圖4）。最後這幾種免殺的方法結合起來使用效果非常不錯，大家可以親自試驗一番。

    圖3



圖4


後記：

      1.其實開始部分插入圖片代碼也是可以的，這個用合併法或黑客偉的asp木馬插入gif調用工具都可實現。
      2.加密法：其實加密方法很多的，不止這一種的,比如第5種方法.更多的就要靠大家發掘了。
      3.大小寫互換法可以參考4ngel的這篇文章
      小議腳本變形：http://cnc.4ngel.net/article/40.htm
      4.asp結構特徵法可以參考這個動畫
      asp.aspx.php超簡單免殺：http://3800hk.com/donghua/g/14198.html
      5.一句話木馬可以參考
      ASP數據庫插馬小議：http://blog.csdn.net/lake2/archive/2006/05/02/705362.aspx
      6.文中提到的加密工具下載頁面：http://www.heik.cn/n143c16.aspx
      7.數據庫合併這種方法在aspx木馬上也是可以使用的，缺點就是合併後木馬打開速度變慢（msasp.exe不可使用在aspx木馬上）。
      8.本文已發表於《黑客X檔案》雜誌第十期 版權歸《黑客X檔案》所有 轉載請註明版權