木马网站网页木马的免杀

2021-03-22 21:26:40 时尚生活木马网站,数组,网页,变量,压缩器

16004488

这段代码是一个以“|”作为分隔符的例子，它用“|”将SQLij的内容分成几个数组。因为它可以将一个字符串分成几个数组，所以它也可以被重组。例如，原始字符串为“222333555”，可以分为“22|233|35|55”或“2|22333|555”等任意形式。假设分成“22|233|35|55”这种形式，就变成了“22”、“233”、“35”、“55”四组字符串，中间的分隔符“|”也消失了。当我们把包含这四组字符串的数组组合起来，就变成了一组类似“222333555”的字符串。

你可能不明白这个的用法。以最简单的服务器为例。CreateObject ("ing。filesystemobject)为例，并使用上述处理方法——插入空变量以避免被杀死。但是，之前的服务器。createobject不能使用这个方法，所以会引起杀人工具的怀疑。但是如果我们使用分隔符加密算法，我们可以使用任何不寻常的字符无限制地对其进行加扰。请看下面的演示程序:

首先，变量Msg包含一个加密的可执行ASP语句response.write("Hi！这是一个后门。ASP.Ace.cm！”)，其功能是打印“嗨！这是一个后门。ASP.Ace.cm！”这句话，但是我们发现源程序中的那句话已经处理过了，其中很多“@”符号是随机插入的，所以我们把它当成加密的木马文件。变量Msg中的加密ASP语句通过使用Split函数以“@”作为分隔符存储在数组数据中。由于加密的ASP语句中有六个“@”，它们作为七个不同的成员存储在数组数据中。下一步是用for循环语句解密它。循环条件中的变量I被设置为数组的下标，以表示数组中的不同成员。下面的ubound(data)返回数组数据的成员数，每次执行，I的值增加1。循环体的内容是将数组数据中索引为I的成员中的数据附加到变量temp。假设原始temp中的内容是resp，索引为1的成员中的内容是onse.writ，那么执行后temp的内容就是response.writ。不难看出，这个循环语句的作用是将数组中所有成员保存的内容“吐槽”到变量temp中。

下一步是在变量temp中执行语句。至此，脚本中的干扰符号@已经成功移除，脚本已经完美执行，如图9所示。

图9该脚本被解密并正确执行

但是如何应用到真正的脚本木马上呢？其实在实际应用中只需要稍微注意一下。首先要注意的是，execute函数不支持HTML语言，也就是说纯HTML语言不能用这个方法加密。其次，如果需要加密的木马非常大，肯定会包含很多双引号或者单引号，程序可能会误判。因此，在使用这种方法进行加密之前，使用其他方法进行处理是不明智的。另外，replace函数也可以实现类似的功能，原理更简单，执行效率更高。

(2)ASCII码转换加密方法

既然是ASCII码转换加密法，就要处理ascII码。在ASP脚本中，有一个ASC()函数可以将任意字符转换成ASCII码，当然也可以将任意ASCII码转换成可见字符。让我们用这个原理做一个简单的免杀加密器。

首先需要确定的是如何将asc()函数转换成ASCII码。事实上，它只需要执行下面的vbs脚本代码。