想不到,前几天我才发现,我千辛万苦收集的ASP木马,居然没有几个不被Kill的。常说养马千日用马一时,可要是连马都养不好,用的时候可就头疼了。众多杀软中,查杀效果比较好厉害的就是瑞星跟NOD32(测试软件:瑞星2006、卡巴斯基反病毒6.0、Kv2006、 NOD32 AntiVirusv2.51.30和McAfee VirusScan v8.0i)。
来看一下几种比较常见的ASP木马免杀方法
1.加密法
常用的是用微软的源码加密工具screnc.exe,以此来躲开杀毒软件的追杀。优点是见效明显,一般的有害代码用此法加密后,可以存在于服务器上,发挥原有的功能.缺点是代码经过加密后,是不可识别字符,自己也不认识了。
2.大小写转换法
把被杀程序里的代码,大小写稍作转换.可以躲过一般的杀毒软件。(WORD可以转换大小写,这招对ASPX木马免杀很管用)。
3.混水摸鱼法
这种方法也常奏效.fso写成"f"&vbs&"s"&vbs&"o",运行的结果是一样的,但文件却可以逃过杀毒软件的查杀。
4.图片法或组合法
把代码保存为*.jpg,引用,这样,也可以躲过一劫.把很多个代码分配到1.ASP,2.ASP,3.ASP...中,再通过#include合并起来,可逃过and条件的杀毒软件。
5.移位,逆位,添零法
这种方法也属于加密,可以用黑客伟跟冰狐的作品。