当前位置:首页 > 技术文章 > 正文内容

个人浅谈asp大马解密

lcy2009-11-26技术文章1241

suwey

从本人接触asp大马以来,很多asp马都是采用了各种方法进行加密,这当然达到了免杀效果,但也无疑让我等小菜感到无奈,还记得最初居然想通过看加密函数,然后自己对着密文倒着写(这个够蠢啦)来解密,自从那次写到手抽筋后(而且也没法写完,太累了),我就想一定得找到一个方法解除asp马的加密!!
    之后,我一步步尝试了很多方法,终于最近想到了一个很简单的解密方法。我们以论坛刚发布的暗组2010asp大马为例,因为这个只需要一次解密就行了,为什么呢?因为代码里面只有一个execute!不管遇到什么样的马,有几个execute就得进行几次操作,这里只有一个那么我们就很方便了。我们把最后一句execute(Session("hhqTeBAhS"))去掉,然后写上
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.CreateTextFile(server.mappath("go.asp"),True)
thisfile.Write(""&Session("hhqTeBAhS")& "")

把它保存起来,在asp环境里面运行一下,同一个目录里面会生成一个go,asp文件,这个文件里面的代码就是解密过后的代码了,当然你得自己加上<%%>这种asp标记。因为这个木马只有一个execute所以这样解密后就出来了,如果是有多个的话,把每次解密后的代码合成到一个文件就行了。这种方法应该是最简单的方法了,而且是通用的,除了vbscript.encode这种需要用工具先解除encode加密效果,其他都可以直接解密。因为,只要asp马可以运行,它的解密函数就已经写好了,别人的execute可以执行什么,我们文件里面就会生成什么。


   所以,只要将execute括号里面的拷贝到上面thisfile.write里面两个"&"符号的中间,就可以解出那一段execute所执行的内容。直接生成文件可以避免直接输出代码会被浏览器解析,导致部分代码得查看源文件才能看到的问题。不过,记得一定要在原文件上改哦,因为所有会用到的解密函数可都在那里面的!

 

 

版权声明:本文由cy's Blog发布,如需转载请注明出处。

本文链接:https://www.c3389.com/post/103.html

相关文章

禁止IIS缓存静态文件

这几天客户天天反映说生成网站之后html页面没有发生改变说是服务器缓存 我用清理系统垃圾工具清理了下回到正常状态刚搜了下相关文章原来是 禁止IIS缓存静态文件1. 首先需要设置IIS允许运行...

记录一些大站用的获取IP json返回地址。

搜狐http://pv.sohu.com/cityjson?ie=utf-8...

VPS的CPU限制的设置项解说

在hyper-v管理器中,CPU的设置项中,有以下三项设置: 1.虚拟机保留百分比 为0 占总系统资源的百分比 0, 就是说VPS就算CPU不用的的情况下也占用多少总的比例,这个会...

挂马轻骑兵,看黑客的多种挂马方式

开始语目录一 最简单的挂马方式          1.iframe挂马法     ...

dedecms简单全免疫漏洞方法之.htaccess

 一些程序虽然是开源的但是一些漏洞 我们不知道或者知道存在不知道怎么解决的时候 就得想偏门的办法来解决它。<IfModule mod_rewrite.c>RewriteEngin...

sql injection 教程,包括盲注。英语版

摘自:黑基 最近在学php+mysql下的注入,到处找文章,古今中外的。在外国网站上找到这么一篇好文章,外国同行们公认的典型教材,于是拿来给大家。说实话我实在看不惯某些人不懂装懂,黑页上hacker...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。