黑客营(25):代码加密 ASP木马瞒天过海
安全阵线
ASP木马固然强大,但木马两字就决定了它会成为杀毒软件的目标。对于一个没有经过处理的ASP木马而言,上传到服务器后极有可能被杀毒软件查杀。
因此,黑客一般会先对ASP木马进行免杀处理,再上传。很多杀毒软件是根据特征码来判断文件是不是木马的,因此对ASP木马的代码进行加密,是一种不错的免杀方法。
下载Script Encoder,这个工具本来是微软提供给程序员用的,却被黑客“巧妙”地借来加密ASP木马,给ASP披上微软的外衣。以火狐ASP木马为例,默认状态可以被杀毒软件查杀。
将screnc.exe和火狐ASP木马放到C盘根目录,然后进入“命令提示符”,定位到C盘根目录,输入命令“screnc.exe 要加密的ASP木马名 输出的ASP木马名”,例如“screnc.exe test1.asp test2.asp”。
回车后就会在目录中生成test2.asp文件,这就是加密后的火狐ASP木马了,用记事本打开后可以看到很多乱码,但是这些乱码却能够正常执行(如图)。
除了Script Encoder,火狐ASP加密解密工具的效果也不错。火狐ASP加密解密工具提供了6种加密方式,比Script Encoder丰富多了,因此该工具受到部分黑客的青睐。
文中提到的黑客工具可以在网上下载,如果你没有找到,可以登录http://go.icpcw.com/g/hky.htm寻找相关信息。
此外,我们还在电脑报官方论坛(http://bbs.icpcw.com)安全板块中,邀请“黑客营”的高手坐镇答疑,如果你遇到不懂的黑客知识或者在黑客工具使用过程中有什么疑问,可以寻求他们的帮助。
小贴士 | TIPS
要让ASP木马免杀,并不只有加密一种方式,有些ASP木马天生就是完全免杀的,这种天生免杀的ASP木马有两类:一类是极简的代码,只有一个上传功能,黑客通常用它来开启后门,然后上传功能强大的ASP木马进行提权。
而另一类就是一句话木马,例如lanker的一句话木马,只有区区一句代码,就可以控制网站。