流行的木马技术、木马软件以及木马防杀毒技术介绍_病毒安全_

许多站点现在使用ASP动态程序来促进站点构建和后台管理。但是，这也给整个站点的安全性带来了巨大的隐患。现在，典型的网站攻击是通过植入ASP Trojan马来获得对系统的控制。早期的asp木马通常有几个文件。 asp木马的易用性，隐蔽性和强大的可执行能力使其越来越受到黑客和入侵者的青睐。 Asp Trojan木马技术也已兴起。木马文件已集成到一个文件中，其大小仅为20到30公斤，并且可以使用“ asp Trojan免费工具2. 0”等软件对asp源程序进行加密，以避免使用防病毒软件。杀人。以下是对更流行的木马技术，木马软件和木马防病毒技术的介绍。

（[一）木马核心技术简介

Asp Trojan木马的核心技术是使用脚本创建对象，然后使用cmd.exe命令执行诸如文件创建，删除和修改之类的操作。以下是对使用FSO和不使用FSO技术的更流行的木马程序的源代码的介绍。

描述：FSO是FileSystemObject的缩写。 IIS4及更高版本中ASP的文件操作都可以通过FileSystemObject来实现，包括文本文件的读写目录操作，文件复制，重命名和删除等。尽管FileSystemObject带来了便利，但也存在很大的风险。使用FileSystemObject，您可以篡改并下载Fat和FAT32分区上的任何文件。如果权限设置不正确，甚至ntfs都可能被破坏。

1。使用FSO技术的Asp Trojan

代码页=“ 936”％>

调用一些常用的DOS命令，例如删除，复制，dir，net和netstat。

原型是：

cmd.exe / c“ dos命令”>“文件名”

如果要查看c驱动器上的所有文件并将结果输出到viewdrive_c.txt，则命令为：

cmd.exe / c目录c：\> viewdrive_c.txt

描述：“>”是将命令执行的结果输入文件中。如果在“文件名”中未指定任何路径，则默认情况下会将其保存在当前目录中。

注意：在您输入的命令之间留一个空格。

三个脚本对象，然后执行Dos命令解释器并执行输入的Dos命令，并将命令的执行结果输入到临时文件（szTempFile），然后打开该临时文件并在网页上显示结果，并最后删除临时文件。操作结果如图1所示。

2。非FSO技术的asp木马

以上代码的运行结果如图2所示。不使用FSO技术的ASP木马创建Shell.Application对象，然后通过shell.namespace操作创建的对象。通过使用此方法，尽管无法执行诸如net，del和netstat之类的命令，但它可以复制，移动文件和文件夹，并执行系统中存在的特定程序。但是，每次执行应用程序时，都会打开一个进程，并且可能会报告错误。可以通过任务控制器查看打开的进程。

描述：Shell.Application对象提供NameSpace（文件夹名称），CopyHere（[，选项标志]）和MoveHere（[，选项标志]）方法。 NameSpace（）方法可以获取文件夹的属性，CopyHere（）和MoveHere（）分别复制和移动文件夹。

（二）常用的asp木马软件

1。海阳顶网asp木马

在许多asp木马中，海阳顶级网络asp木马应该相对成熟，并且是最常用的asp木马。就其版本而言，到目前为止已发布了多个版本：海阳顶级网络。 asp木马第一版，海阳顶网asp木马XP版，海阳顶网asp木马xp-net版，海阳顶网asp木马2003版，海阳顶asp木马安装插件版和海阳顶木马版network asp Trojan 2005版。 Haiyang Top Net的早期asp木马通常具有多个asp文件。后来的asp Trojans将所有文件集成到一个文件中。例如，xp版本和xp-net版本集成后的文件大小仅超过20k。 。 Haiyang顶级网络的asp木马是用asp脚本语言编写的，可以修改，编辑和删除任何文件。如果服务器上有一个asp Trojan木马程序，则该服务器基本上是＃￥％。 Haiyang Topnet的asp Trojan xp-net版本的初始运行界面如图3所示。在下面的输入密码框中输入“”之后，您可以使用其集成功能界面（图4）。在此界面中，可以很方便地切换驱动器号，浏览，编辑，删除和复制指定驱动器号下的所选文件。使用此木马来操作文件与在本机上操作文件一样方便。

2。 asp Trojan免费工具2. 0

Asp Trojan Free Kill Tool 2. 0是用于加密asp源代码的工具（图片5）。大小为545k，其中asp.exe是主程序。运行该程序后，选择源Trojan。文件，然后首先单击“转换”，最后单击“加密”以生成加密的asp木马网页文件。

3。 Siyi ASP木马程序2. 0

，adodb.stream对象或其中一些方法用于检查，您可以搜索由变量，静态对象和自定义关键字创建的对象。但是，该程序可能会导致IIS在搜索较大的文件时停止响应，甚至可能导致服务器崩溃。其运行界面如图6所示。

（[三） asp木马杀毒技术

在征服主机并植入asp Trojan木马之后，为了保护自己的财物并防止系统管理员发现黑客通常通过加密，更改时间和使用特殊字符来逃避通常保护asp Trojan木马的行为。通过检测杀毒软件，避免发现系统管理员。以下是其常用方法的说明。

1。使用软件对asp源代码进行加密

当前，有许多软件可以加密asp源代码，例如，无asp木马工具2. 0等。原理是使用某种算法来转换源代码或源代码中的关键字。转换后，源代码变得乱码或以特定字符形式显示。但是，随着反病毒技术的改进和版本升级，加密的asp木马仍然无法保证能够逃脱对杀毒软件的检测和查杀。

2。修改asp木马文件的时间

将asp木马上载到服务器后，即使它非常隐蔽，也可以在普通文件中轻松找到其文件修改时间的更改。因此，有人修改木马源程序文件的时间与管理员逃避服务器上正常文件的时间是一致的。

3。使用特殊字符“ \”来保护asp木马

Windows认为您不能在设计中使用“ \”作为文件及其文件夹的名称，但是当您使用cmd.exe命令创建文件时，如果文件名包含“ \”，则文件名中的“ \”将被忽略，但创建的文件夹仍将成功，但是将不会显示“ \”（图7）。使用“ \”字符保护asp Trojan文件的原理是：在IIS中在设置目录下创建一个带有“ a ... \”的文件夹，然后将木马文件复制到该文件夹??中。复制成功后，您可以在浏览器中输入以下地址来运行木马程序马文件

说明：其中，我们将xp.asp木马文件复制到“ asp ... /”目录中，其创建命令如下：

mkdir a ... \

复制xp.asp a ... \

创建成功后，在浏览器中可以看到一个名为“ a”的文件夹，但是无法打开或删除该文件夹，以达到保护asp Trojan文件的目的。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-376885-1.html