想不到，前幾天我才發(fā)現(xiàn)，我千辛萬苦收集的ASP木馬，居然沒有幾個不被Kill的。常說養(yǎng)馬千日用馬一時，可要是連馬都養(yǎng)不好，用的時候可就頭疼了。眾多殺軟中，查殺效果比較好厲害的就是瑞星跟NOD32（測試軟件:瑞星2006、卡巴斯基反病毒6.0、Kv2006、 NOD32 AntiVirusv2.51.30和McAfee VirusScan v8.0i）。

　　來看一下幾種比較常見的ASP木馬免殺方法

　　1.加密法

　　常用的是用微軟的源碼加密工具screnc.exe，以此來躲開殺毒軟件的追殺。優(yōu)點是見效明顯，一般的有害代碼用此法加密后，可以存在于服務(wù)器上，發(fā)揮原有的功能.缺點是代碼經(jīng)過加密后，是不可識別字符，自己也不認識了。

　　2.大小寫轉(zhuǎn)換法

　　把被殺程序里的代碼，大小寫稍作轉(zhuǎn)換.可以躲過一般的殺毒軟件。（WORD可以轉(zhuǎn)換大小寫，這招對ASPX木馬免殺很管用）。

　　3.混水摸魚法

　　這種方法也常奏效.fso寫成"f"&vbs&"s"&vbs&"o"，運行的結(jié)果是一樣的，但文件卻可以逃過殺毒軟件的查殺。

　　4.圖片法或組合法

　　把代碼保存為*.jpg,引用,這樣，也可以躲過一劫.把很多個代碼分配到1.ASP,2.ASP,3.ASP...中，再通過#include合并起來，可逃過and條件的殺毒軟件。

　　5.移位,逆位,添零法

　　這種方法也屬于加密，可以用黑客偉跟冰狐的作品。

　　6.ASP結(jié)構(gòu)特征法

　　在程序開頭跟結(jié)尾加上圖片數(shù)據(jù)庫之類的特征碼，改變本身結(jié)構(gòu)。無論是刪除一些特征，還是顛倒順序只要能正常使用即可。

　　以前用screnc.exe加密都被殺了，其實網(wǎng)上好多加密軟件都是利用這個小東西加密的�？磥磉@種方法現(xiàn)在是行不通了�，F(xiàn)在比較流行的就是移位、逆位、添零等。有能力的朋友可以定位下殺毒軟件的特征碼或者自己編寫修改。有時候把里邊的東西文字改改換換位置跟語法也能躲過查殺。

　　其實我感覺破壞ASP的結(jié)構(gòu)性是最好的免殺方法。也看了許多文章，其中有在ASP開頭加入圖片特征碼躲過查殺，不過這種方法有的時候是沒用的，于是便想起了可以改變成數(shù)據(jù)庫結(jié)構(gòu)。這種工具網(wǎng)上也有的，不過是用來欺騙動網(wǎng)后臺備份的。

　　我以原版海陽頂端木馬為例，首先把ASP木馬合并成數(shù)據(jù)庫（copy X.mdb+X.ASP X.ASP），使用殺毒軟件查殺，可以躲過瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。唯獨不能躲過NOD32查殺。這時候可以先用screnc.exe加密下在合并，這樣NOD32（圖1）也檢測不出來了。最重要的是能正常使用圖2？答案是可以的。

　　這一系列的操作很是煩瑣，所以我寫了個小程序來簡化操作。就是把未加密的ASP木馬改名為A.ASP，然后運行MSASP.EXE程序就可以了。最后這幾種免殺的方法結(jié)合起來使用效果非常不錯，大家可以親自試驗一番。