网页木马与杀毒软件的较量

在上一期《大网站是这样被入侵的>一章中。简单的提了一下网页木马的加密躲过杀毒软件的方法，该方法可能对某些杀毒软件没有效

>> 杀毒软件的实时监控与内存杀毒 浅谈杀毒软件的杀毒原理 杀毒软件奈我何.史上最牛的木马免杀招数 不用安装杀毒软件也能查木马 木马免杀偷偷笑杀毒软件睡大觉 杀毒软件的生存危机与突围 十五周年我与杀毒软件的故事 适合股民的杀毒软件 “杀毒软件”的工作畅想 适合多种设备的杀毒软件 开源免费的杀毒软件ClamWin 世界级的杀毒软件 杀毒软件的“国际统考” 杀毒软件真的可信吗？ 提速你的杀毒软件效率 升级杀毒软件 杀毒软件，微软件 杀毒软件行业之争 杀毒软件可信否？ 杀毒软件好伴侣 常见问题解答 当前所在位置：”、“Xunlei.htm”、“Yahoo.htm”等子网页木马文件。将这几个木马文件全部上传到某个网站空间中去。然后可以采用木马生成器上提供的两种方式：“框架挂马”或“脚本挂马”的方式插入到某个入侵的网站网页中，即可将木马传播出去了。

小提示

木马有一个“Cookies”设置项，用于设置Cookie信息记录木马运行次数，以免网页木马重复执行。可提高网页木马效率与隐蔽性。

兔杀目标

在生成的几个子网页木马文件中。有好几个是会被杀毒软件查杀的，包括“Yahoo.htm”、“StormlI.htm”和“ani.c”。现在我们就来对这几个网页木马进行免杀处理，先挑选“stormlI.htm”作为免杀目标。

定位网页木马特征码

网页木马与普通EXE程序木马一样。杀毒软件都是通过特征码对其进行查杀的。定位EXE程序木马的特征码。可以使用MYCCL之类的工具；而网页木马特征码。则可使用“文本特征码定位器”工具。

小提示

“文本特征码定位器”与MYCCL定位特征码的原理是一样的，都是通过依次用数据覆盖文件中的某几个字节段，生成多个文件。用杀毒软件扫描后，如果未被杀的则说明其覆盖的字节处就是特征码。

步骤一：设置定位器、

运行文本特征码定位器，在上面的“文件”处浏览选择刚才生成的“Stormll htm”文件；在“目录”中指定一个临时文件保存目录(如图2)。“替换字节”中可以设置10左右。一般来说，字节数越小。定位越精确，但是相应的生成文件数目更多，占用空间大速度慢。在这里因为“Stormll.htm”文件本身体积只有“3KB”，比较小，因此可以将字节数设置小一些，设置为2左右。

步骤二：查杀木马

点击“生成”按钮，即可在指定的目录下生成多个临时文件。文件都是被相应覆盖掉了一些字节的。生成完毕后。会弹出一个对话框。注意，不要点击确定关闭。先用杀毒软件查杀此目录中生成的临时文件。查杀剩下的文件。应时被覆盖掉了特征码的文件了。

步骤三：获得特征码信息

此时返回刚才的对话框，点击确定按钮，关闭对话框后返回到文本特征码定位器主界面中，软件会自动定位特征码信息，并在当前目录下生成一个名为“report，htmI”的报告文件。打开报告文件，可看到页面中以红色标记的就是网页木马的特征码字符串了(如图3)。

小提示

对于网页木马来说。往往会有多段特征码，这是很正常的。

步骤四：定位特征码

现在我们要检测一下软件定位的特征码是否正确，以红色标记的字符串“

免杀网页木马

虽然特征码有多处。可是我们只要修改一处正确的特征码就可以实现免杀的目的了。如何修改代码，才能既不影响网页木马的运行，又实现免杀呢?

“

在记事本中手工覆盖此串代码中的每一字节，我们发现特征码被覆盖掉“+”时，即为“slackspace=headersize shellcode.length：”时，杀毒软件提示无毒。因此确定只要将“+”号改掉就可以了。所以我们将代码改变“slackspace=headersize-1+1+sheIlcOde，length”，或者变为“slackspace=headersize-1+sheIIcode.1ength+l：”都是可以的。修改后，用杀毒软件查杀，发现KV2008已经认不出这个是网页木马了(如图5)。

免杀修改的其它方法

当然，不一定所有网页木马的特征码都有等式，有的时候可能是任意的一串字符。其实我们也是有办法进行免杀修改的。这里还是以“Stormll htm”文件为例，假设我们要修改另一处的特征码以实现免杀，特征码字符串为“var bigblock=unescape(“％u9090％u9090”)： ”。其实只要将该字符串做一个变换处理就可以了。

首先，运行本期文章《十项全能的黑客工具――JtajiaBox》中介绍的“Jiajia BoxV3.0”，选择“字符转换板块”，打开字符转换工具。在左侧选择“ASCII查询”选项页，在右边的“按钮ASCII码查询”中输入上面的特征码字符串，注意。要手工输入才行，在下方的转换框中会得到如下ASCII字符串(如图6)：

118 97 114 32 98 105 103 98 108 111 99 107 3261 32 117 110 101 1159997 112 101 40 34 37 117 5748 57 48 37 117 5748 57 48 34 41 118 8 59

然后直接将网页木马中的特征码字符串“varblgblock=unescape(“％u9090％u9090”)：”。替换为如下代码：

funcnon Decode(k)

dlm s，t，1

s=Split(k，“”)

t=“”

for l=O to Ubound(s)

t=t+chr(s(i))

next

Decode=t

End Funcdon

dim strl

strl=“转换后的ASCII字符串”

execute(Decode(strl))

其中“str1=”后改成前面转换后得到的ASCIl代码，替换后保存文件，再用杀毒软件查杀，同样可以让杀毒软件识别不出病毒来。这个方法是非常通用的，无论任何特征码语句，都可以通过转换为ASCII后再进行解密，从而达到免杀的效果。用此方法对付其它杀毒软件，也都是有效的，而且还可以在此方法的基础上略作修改变换，可以实现百分之百的免杀!

下载地址：

2007完美组合木马http：///SoflJzhly门9433，html

文本特征码定位器http：//downloadl.77169.corn/soft/hacrktools/other/200609/060918dwq.zip