木马的加密与防杀
随着网页的泛滥,很多杀毒软件都已经把他们列为严厉打击的对象了。我们辛辛苦苦
得到的 webshell 就被杀毒软件 kill 了岂不亏大了。所以了能够让 webshell 长期生存在网
站中,我们必须反击,对付杀毒软件。那么我们怎么防止杀毒软件的查杀呢?有两种办法一
是换一匹不会被查杀的木马,二是对木马进行加壳,让杀毒认识不了这个木马,从而达到躲
过杀毒软件的查杀。
我们先来说说换木马,目前很多工具都是用于方便管理而做的,但是在管理的同时他
们也能够当作木马来用,他们也能够达到与木马一样的功能。比如海洋顶端和老兵的 ASP
站长助手,海洋顶端目前是杀毒软件重点查杀的对象,而老兵的 ASP 站长助手确很少有杀毒
软件地起进行查杀,但是它的功能一点也不比海洋顶端差。这是因为老兵的 ASP 站长助手是
属于管理软件,很少有软件对其进行查杀。
第二种是加壳。其实就是对木马进行加密或变换,因为杀毒软件查杀木马是靠一些关
键字,而加密或变换之后关键字就没有了,那么杀毒软件就没办法识别木马了,从而躲过杀
毒软件。
对于加密和变换,我们可以采用工具也可以采用手工。这里我就介绍一下工具的使用,
对于手工在后面等大家有了脚本语言基础之后在讲。对于 ASP 的加密,我们可以使用 ASP
木马免杀工具,它的操作很简单,如图2-250 所示。选好木马源文件,先点“转换”,过一
会儿在点“加密”就可以实现对这个ASP 加密了,ASP 下的加密还有很多,这里就不多介绍
了,大家可以去黑客网站上下载,他们的使用方法也多相似。
图 2-250 ASP 木马加密工具
对于 PHP 木马的免杀,这里推荐一款非常好的 GUI 工具,如图 2-251 所示,只要将我
们的木马代码填入源代码的输入框中,点击加密后就可以在结果区中得到加密后的 PHP 木
马 。 比 如 这 里 我 加 密 phpinfo(); , 那 么 其 结 果 为 <?php
eval(base64_decode('DQpwaHBpbmZvKCk7'));?>。而且我试过了,使用这个工具加密后可以
过卡巴的查杀。