抓出asp大马里的小密秘
! i8 ^- O3 ~3 ^1 z! |& a" J2 X( x. c9 M7 S
+ z4 v) o9 @- w7 \8 [
各位小黑喜欢从各站点下载新出的免杀ASP大马来用,但有没有经常,你把一个大马传到网站,第二天这个网站就被别人挂了马呢?难道是别人也刚好第二天黑了这站?,呵呵,跟我一起来抓出在你用的ASP大马里的小密秘吧.2 x7 X) `# L$ }
准备工具winsock 0.6
3 ]5 [ p3 A+ a5 C! S
5 K: ^& }' W$ r+ T, a& T' I, z$ Z8 ^先运行winsock (要在IE前面运行,不能WINSOCK没有办法注入DLL到IE)
) b5 f7 _! v; Q$ R6 I9 z# w把ASP大马传到网站(废话..)$ D# ^4 n# D9 s5 T" F
然后把所有IE关掉,只留一个(太多IE进程,影响抓包)
& I; G2 F0 j" Z) D使用winsock选中IE进程进行抓包9 B. N' `8 ?( Z, W' S& d
 - w) z2 v( U# x7 m. d- t
然后输入你的大马网址,输入密码,确定! z* Q; E6 g9 I/ i+ C
9 z C; [- g: k登陆后,再回到我们的winsock,看看抓到了什么?% T) x1 B; h3 y$ O( h
- S1 l5 f4 o& o& F! X一共五条数据.仔细看一下,其中的四条是发到我们的大马的IP,有一个发到的ip是122.70.138.246
+ _2 i6 c9 ]6 d打开看看是发的是什么4 e; P4 I1 _ |/ Y
% D5 G# R2 s( L" X3 d这条的总意思是把你的大马网址,跟密码,发送到 http://8cce.com/ad/ 下,至于这个下面会干什么,呵呵,不得而知 m5 p3 s" A5 X3 ?1 W q: J5 r
1 m. U2 v: ~( U& O/ ?. z
& r+ V( `, `1 j0 G9 w当然,如果你选用的大马不同,也可能会产生不同的数据,也可能有些作得隐藏些,在登陆的时候不发送,在进行别的操作时再发送.这里可以把winsock一直开着,再在ASP上试着进行一些简单的操作,看看有没有其它的数据.
6 T' K6 F; j$ j但总而言之 ,如果有数据发送到你大马以外的IP上就要注意了,可能只是一个简单的流量统计,也可能跟这个一样,把你的马地址和密码送给人家. J. n4 Y$ l$ b; y, c# o
* H- \0 V1 K6 J! f# S: Q, H小黑们可能要说怎么防止呢?% ^7 u& n3 l7 v% u! Z. j8 R8 J
第一,最好是能换一种ASP马,再用上面的方法检查,确认没有后门.
* Q! @( K4 d& N7 L) v第二,如果习惯了,不想换,哪么就将ASP解密,查找后门,然后去掉,这个可能比较难.有能力而为之.
8 N5 H+ e6 Z5 b9 l: V ^第三,修改本机hosts,文件在c:\windows\system32\drivers\ect\下hosts文件
: X' V( k% x* I在最后面加上+ O: [- D. M1 `/ \; ?
127.0.0.1 8cce.com
+ J& Y/ q3 K2 t3 v/ _意思就是把8cce.com这网址解析到本机,再登陆的时候,他就会把密码发到本机的80端口,
) E0 X1 s' v0 h-------YD的分割线------------------
4 G5 m' |. Q( X, T' q5 @
, f/ Z" ?' T2 n1 @今天有时间,做多一个简单的,希望大牛不要笑话 |
发表于 2008-9-5 13:03
| 
