网马的运行分析续篇

什么？代码哪里隐藏了？

你可以查看下原代码。只留下了调用done.asp的痕迹，你直接打开done.asp是无法看到代码的。缓存文件也没留下，杀软们去比对特征码吧……

当然了。这个只是功能的演示和思路的扩展，你可以利用几个玉米跳来跳去，把自己藏着深深地，让安全公司的爬虫抓不到你，除非他们一直把 referer记着，不断地深入追踪你。不然他们只追到其中某几级的地址就咯屁了，而且很多时候他们只有挂马页的地址，更不用说前几级的referer是 从哪个星球来的。

到了这里大家应该清楚了吧。跟ITSUN用PHP实现的隐蔽有点相似，但它还是留下了缓存给我取证。

大家有兴趣就加上cookies判断等东西，打造无敌躯干。没缓存文件对比特征，爬虫抓不到你，手工追踪狡兔三窟，cookies判断虚实不定……好吧，你说你用影音嗅探非把我的地址给揪出来。不过那是不可能的。

这样的迷踪步，我都没有把握能捕获到EXP。特别是我可不会为了一个挂马地址花上大把的时间去追踪，我又不是金田一……

所以以后拿到EXP直接往done.asp的判断里丢，有兴趣的还可以加个密免个杀变个型整个容炒个作唬个烂上个镜出个名。

不知不觉我边聊QQ边写的文章又开始唬烂了……都忘记该写什么了。好吧。。大家看演示页打包吧：

http://www.scanw.com/ggtest/demo.rar

在此先讲2件事，有人叫我大G或者G大，其实这中间有误会，我叫小G，而大G和G大的叫法应该是大GG和GG大演变来的。

更多关于网马的内容请关注知道安全

最后放了个联众的0DAY在这里。http://www.0×37.com/Project/webtrojan/index.htm

上一页  [1] [2]