|
|
|
联系客服020-83701501

Webshell过安全狗的几种技巧[附特征免杀法]

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Webshell过保险狗的几种本事[附特征免杀法]

由于以前找一个免杀的大马找了良久,今日就特意研究了下如何做大马的免杀。要免杀,起首就要理解杀手,我们不妨从装个保险狗看看,从中真就能够缔造一些简单易行的免杀方法。
扫描设置 主动防御设置
本人留心观察上面两个截图,一个之扫描网马的默认设置,一个是踊跃灌注的默认设置,从中即可能看出两个亮点:
1.手动扫描和踊跃灌注都默认疏忽大于1M的文件
2.手动扫描默认扫描所有经典文件,而踊跃灌注默认之扫描脚本后缀文件
从这两点出发,就会有两种简单易行的免杀办法,切实本人肯建都早晓得了,不外我还是总结一下,细节不再论述:
1.使webshell文件大小大于1M——对手动扫描及踊跃灌注都无效 (如果你是*nix用户,可能简单用dd命令产生一个1M文件,然后用cat命令将其与webshell文件连贯)
2.将大马保留为jpg后缀文件,操作文件包罗履行脚本——只对踊跃灌注无效
这两种办法估计本人都用烂了,诚然也是最简单易行的,可我即是爱折腾,上面第三种办法,也即是这篇文章次要要说的,即是特征码定位式免杀。

作为script kiddie我对软件保险一窍欠亨,不外还是听说过myccl,multiccl之类的东西,受此开导,webshell也应能运用相通道理定位。可是直 接用*ccl定位的话因此字节为单位拆分,而面对脚本文件,我们需要以行为单位。由于不晓得*ccl到底是什么责任流程,因而抉择重新做起,用一句风靡话 来讲,即是“自立研发”。起首我疯狂的打了个底稿,想好了流程(火星人的底稿,本人疏忽)
1.jpg
大略讲解下责任流程,巨伪伪代码如下:

  • 循环体开端
  • 瓜分文件(001为删去第一行,002为删去1至2行……依次类推,直至只剩末端一行)
  • 保险狗扫描
  • 查抄残存文件,若残存编号n以后的文件,则说明第n-1行中有特征码;若不有任何文件被查杀,插手循环
  • 用0添补已定位出的特征码行
  • 循环体竣事

就如许,即可能定位出充分数目的特征码。“充分数目”是指恰好足省得杀,而非所有特征码。经我实验,一个webshell中有n个特征码,而只需有m(m<=n)个以上就会被查杀,而小于m个就不会被查杀。
写完代码后,做了个实验,以啊D目次检测东西(asp)为小白鼠。
22.png
定位出第75和147行,我们来看看
3.png

在这两行中我们只需简单的拆分修正一下字符串,然后就免杀啦:
4.png

 

[via@ettack f4ck team]

 

数安新闻+更多

证书相关+更多