|
其中"MZP"就是exe的文件头。然后用卡巴斯基扫描,如图11。
如果还被杀的话,可以换下文件头,或者多个文件头组合进行欺骗,效果会更好。
我的评价:只是通过加入其他文件格式的文件头欺骗杀毒软件免杀asp木马,这种方法比较新颖,既不会损坏源代码效果也很好,推荐大家使用。
四、定位
这里用到的是lake写的文本特征码定位器,还是以落叶纷飞asp为例,选好木马后设置“替换字节”,然后“定位”,在程序同一目录下就会生成一个out文件夹,并且生成完毕后弹出窗口,如图12。
先不要急着按“确定”,对其生成文件夹NOD32查杀,回到窗口“确定”就会在同目录下生成一个report.htm的报告文件,将其打开,找到红色字符串地方,这些就是特征字符了,将其复制到L.S.T的ASP木马免杀辅助工具上“随机转”,如图13。
将生成的代码覆盖回去,再查杀,发现已经过了。
我的评价:定位无疑是对付杀毒软件最有效、最根源的方法之一了,建议大家定位一些老牌asp木马,例如海洋,老兵那些,新的asp木马诸如十三,已经被杀毒软件虎视眈眈了。
专杀篇
一、原理
雷客图ASP站长安全助手是基于asp脚本的asp木马专杀,最新出到1.6版本了,如果想要过它的话,就得从它的源码进行分析,找到相关判断语句的内容,分析后再有针对性地修改asp木马即可。下面来分析admin_scanshell.asp的代码,获知它是通过什么来判断asp木马的。
上一页 [1] [2] [3] [4] 下一页 |
