不死傳說之　打造不死的ASP木馬的方法 - 運維管理

想不到，前幾天我才發現，我千辛萬苦收集的ASP木馬，居然沒有幾個不被Kill的。常說養馬千日用馬一時，可要是連馬都養不好，用的時候可就頭疼了。眾多殺軟中，查殺效果比較好厲害的就是瑞星跟NOD32（測試軟件:瑞星2006、卡巴斯基反病毒6.0、Kv2006、 NOD32 AntiVirusv2.51.30和McAfee VirusScan v8.0i）。

來看一下幾種比較常見的ASP木馬免殺方法

1.加密法

常用的是用微軟的源碼加密工具screnc.exe，以此來躲開殺毒軟件的追殺。優點是見效明顯，一般的有害代碼用此法加密后，可以存在于服務器上，發揮原有的功能.缺點是代碼經過加密后，是不可識別字符，自己也不認識了。

2.大小寫轉換法

把被殺程序里的代碼，大小寫稍作轉換.可以躲過一般的殺毒軟件。（WORD可以轉換大小寫，這招對ASPX木馬免殺很管用）。

3.混水摸魚法

這種方法也常奏效.fso寫成"f"&vbs&"s"&vbs&"o"，運行的結果是一樣的，但文件卻可以逃過殺毒軟件的查殺。

4.圖片法或組合法

把代碼保存為*.jpg,引用,這樣，也可以躲過一劫.把很多個代碼分配到1.ASP,2.ASP,3.ASP...中，再通過#include合并起來，可逃過and條件的殺毒軟件。

5.移位,逆位,添零法

這種方法也屬于加密，可以用黑客偉跟冰狐的作品。

6.ASP結構特征法

在程序開頭跟結尾加上圖片數據庫之類的特征碼，改變本身結構。無論是刪除一些特征，還是顛倒順序只要能正常使用即可。

以前用screnc.exe加密都被殺了，其實網上好多加密軟件都是利用這個小東西加密的。看來這種方法現在是行不通了。現在比較流行的就是移位、逆位、添零等。有能力的朋友可以定位下殺毒軟件的特征碼或者自己編寫修改。有時候把里邊的東西文字改改換換位置跟語法也能躲過查殺。

其實我感覺破壞ASP的結構性是最好的免殺方法。也看了許多文章，其中有在ASP開頭加入圖片特征碼躲過查殺，不過這種方法有的時候是沒用的，于是便想起了可以改變成數據庫結構。這種工具網上也有的，不過是用來欺騙動網后臺備份的。

我以原版海陽頂端木馬為例，首先把ASP木馬合并成數據庫（copy X.mdb+X.ASP X.ASP），使用殺毒軟件查殺，可以躲過瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。唯獨不能躲過NOD32查殺。這時候可以先用screnc.exe加密下在合并，這樣NOD32（圖1）也檢測不出來了。最重要的是能正常使用圖2？答案是可以的。