小议脚本变形
作者:SuperHei 来自:宁静天使:http://www.4ngel.net
脚本打击在网络宁静中永久是个“重头戏”,由此产生的各种打击性脚本如vbs/js脚本,各种webshell 尤其是webshell是web入侵中必不可少的工具。如今的webshell版本繁多,功能越来越强,这也成为办理员防范和各大杀毒软件追杀的目的。
下面我以asp的webshell为例子简单说下脚本的变形思绪:
1.classid的利用
aspshell里的常用的工具名往往是杀毒软件采用的特性码,办理员也可以通过修正注册表,来转变asp工具的名称,但是没个asp工具在系统里有个划定的classid(ps:classid在各个系统有所不同)那么我们就可以通过classid来建立工具,如我们通常建立fso工具是采用下面的语句:
Set hh=Server.CreateObject("Scripting.FileSystemObject") 那么通过查找“Scripting.FileSystemObject" 来查杀你的脚本,那么我们就可以通过fso对应的classid来建立:
这样还有个利益就是即使办理员改fso的名字,也可以利用。
以下是常用工具对应的classid:
WSCRIPT.SHELL 72C24DD5-D70A-438B-8A42-98424B88AFB8
WSCRIPT.NETWORK 093FF999-1EA0-4079-9525-9614C3504B74
Scripting.FileSystemObject 0D43FE01-F093-11CF-8940-00A0C9054228
Scripting.Encoder 32DA2B15-CFED-11D1-B747-00C04FC2B085
Scripting.Dictionary EE09B103-97E0-11CF-978F-00A02463E06F
adodb.stream 00000566-0000-0010-8000-00AA006D2EA4
shell.application 13709620-C279-11CE-A49E-444553540000
2.利用+或&毗连符的妙用
杀毒软件一样平常是进步提取特性码来查杀病毒的,以是asp工具名一样平常就成为了“特性码”了。我们就可以通过利用+或&来拆分工具名。如:
Set hh=Server.CreateObject("Scripting.FileSystemObject")
我们就可以进步下面的语句更换:
Set hh=Server.CreateObject("Scrip"+"ting.file"+"systemobject")
或
Set hh=Server.CreateObject("Scrip"&"ting.file"&"systemobject")
值得一提的是“思易ASP木马追捕”也是一个有asp编写的脚本,用来查杀webshell的,这个脚本先更换掉目的代码里的&在举行查找工具名,那上面简单的利用&就没用了,不过我们可以同过拔出空变量来防杀:
Set hh=Server.CreateObject("Scrip"&"ting.file"&qsdsdsdf&"systemobject")
此中qsdsdsdf就为空变量,即使更换了全部的&,工具名还是有转变。
3.转变字母巨细写(本文的重点所在)
实在要通过转变字母的巨细写来转变特性码,巨细写对应的asii或其他的编码也不同,这样我们可以到达防杀的目的。完成起来也简单,一个系统自带的“记事本”就可以搞定,不过这样要手工一个字母的去更换,你可以自己写个简单的程序资助你处置惩罚,不过细致的题目是,有的代码里有暗码加密的函数会受到影响,还有对shell里的htm代码有影响,建立在变形事,采用部分变形(转变巨细写)。下面是我vb写的一个变形工具。
PS:程序只是更换了指定的几个字母,还有就是加入空变量(见2). 要是你编程够好的话,你可以写个程序可以随机转变巨细写的,还有部分变形代码。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
