【文章标题】: 借"3168a网马"案例来分析所谓的自写函数加密解密网马
【文章作者】: T4nk
【作者邮箱】: [email protected]
【作者主页】: http://www.upx.com.cn
事出有因:某天 客户公司内网中毒 经过捉包一查
为http://ora点3168a点com//s368%5C/NEwJs2.js
里面包含 MS06-014 讯雷 网马
其实整个解密过程相当简单(之前有说明过 所以不再…)
其中有个网马加密原型如下:
#1号—————
<html><head><Meta Name=TestName Content=Test>
<noscript><iframe></iframe></noscript><script language="javascript"><!–
阅读全文 »
来源:7jdg's blog
百度网马的时想要用到,CAB文件封装器CABARC
Usage: CABARC [options] command cabfile [@list] [files] [dest_dir]
Commands:
L List contents of cabinet (e.g. cabarc l test.cab)
N Create new cabinet (e.g. cabarc n test.cab *.c app.mak *.h)
X Extract file(s) from cabinet (e.g. cabarc x test.cab foo*.c)
例如:cabarc n calc.cab muma.exe
阅读全文 »
作者:空虚浪子心[X.G.C] http://cnxhacker.net
来源:IT168
原文地址:http://publish.it168.com/2007/0622/20070622010401.shtml
关于Ajax的执行,开发人员是这样想的“Ajax要做到,在用户浏览网页时应该感觉不到的它的执行(异步),不需要等待页面刷新就可以自动完成验证数据”,比如用户名是否可以注册等。每当我想到“感觉不到的它的执行”这句话,就会联想到还有很多网络安全相关的东西(比如木马)都希望可以做到在用户感觉不到执行,或者可以在用户感觉不到的时候做些什么。
许多“研究网络安全的朋友”都应该感觉到,微软的操作系统已经很久没有像以前那样可以“ms05039.exe www.microsoft.com 阅读全文 »
Tags: AJAX, 网页木马, 网马作者:灵魂追随
来源:灵魂追随's Blog
Tags: 网马不是Ms06014这类的根本无法中!
自己随便写了一个出来,加JS,提高了中马率,和免杀长久性,本来不想发布的,想送给朋友,现在提供给大家去拿去挂吧!!要系统无任何补丁的情况!但是效果超过了MS0614
文章作者:茄子宝
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
一直以来跨域脚本型网马比溢出型网马都要流行,究其原因就是溢出型网马会消耗大量的系统资源导致IE卡死甚至崩溃.
想一想如果一个溢出型网马挂在稍微有流量的站点,访问者一进入网站IE就假死,导致整个网站都不能正常访问,管理员也会在第一时间发现.
在以后层出不穷的IE漏洞中已经很难见到MS06014这种跨域脚本型网马,大部分IE漏洞包括0day都是溢出型网马.
我这里很早以前就有利用溢出型网马攻击网站的两个思路:
1.让溢出型网马的效果延时,也就是访问者进入网站后网马并不是马上起效,而是延时5秒至10秒执行.
这个思路在javascript中很好实现,直接用setTimeout对象,用setTimeout可以在未来的某个指定时间执行特定指令.
阅读全文 »
文章作者:XiaoC
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
本人根据jamikazu 的代码修改的,克服了n0p的溢出只能在2000系统上运行的缺陷!
过Windows SP2的IE_VML网页木马生成器
过Windows SP2
使用方法:
注:请勿直接运行Shellcode.exe!
1.用记事本打开“生成.bat” 修改 http://www.cc99.cn/xxx.exe 为你的马的地址。
2.保存“生成.bat”后双击运行,即可生成ShellCode.txt.
3.用记事本打开IE_VML.htm,找到#########Your Shellcode!!!#########的字样,
把生成的ShellCode.txt中的Shellcode复制替换#########Your Shellcode!!!#########,保存!
阅读全文 »
