因?yàn)橹罢乙粋€(gè)免殺的大馬找了好久，昨天就專門研究了下如何做大馬的免殺。要免殺，首先就要相識殺手，我們不妨從裝個(gè)安詳狗看看，從中真就能發(fā)明一些簡樸易行的免殺要領(lǐng)。



各人留意調(diào)查上面兩個(gè)截圖，一個(gè)之掃描網(wǎng)馬的默認(rèn)配置，一個(gè)是主動防止的默認(rèn)配置，從中就可以看出兩個(gè)亮點(diǎn)：
1.手動掃描和主動防止都默認(rèn)忽略大于1M的文件
2.手動掃描默認(rèn)掃描所有范例文件，而主動防止默認(rèn)之掃描劇本后綴文件
從這兩點(diǎn)出發(fā)，就會有兩種簡樸易行的免殺方法，其實(shí)各人必定都早知道了，不外我照舊總結(jié)一下，細(xì)節(jié)不再敘述：
1.使webshell文件巨細(xì)大于1M——敵手動掃描及主動防止都有效 （假如你是*nix用戶，可以簡樸用dd呼吁發(fā)生一個(gè)1M文件，然后用cat呼吁將其與webshell文件毗連）
2.將大馬生存為jpg后綴文件，操作文件包括執(zhí)行劇本——只對主動防止有效
這兩種方法預(yù)計(jì)各人都用爛了，雖然也是最簡樸易行的，可我就是愛折騰，下面第三種方法，也就是這篇文章主要要說的，就是特征碼定位式免殺。

作為script kiddie我對軟件安詳一竅不通，不外照舊傳聞過myccl，multiccl之類的東西，受此開導(dǎo)，webshell也應(yīng)能運(yùn)用雷同道理定位。但是直 接用*ccl定位的話是以字節(jié)為單元拆分，而面臨劇本文件，我們需要以行為單元。由于不知道*ccl到底是什么事情流程，于是抉擇從新做起，用一句風(fēng)行話 來講，就是“自主研發(fā)”。首先我猖獗的打了個(gè)草稿，想好了流程（火星人的草稿，各人忽略）

大抵講授下事情流程，巨偽偽

支解文件（001為刪去第一行，，002為刪去1至2行……依次類推，直至只剩最后一行）

查抄剩余文件，若剩余編號n今后的文件，則說明第n-1行中有特征碼;若沒有任何文件被查殺，退出輪回

用0填充已定位出的特征碼行

就這樣，就可以定位出足夠數(shù)量的特征碼。“足夠數(shù)量”是指恰好足以免殺，而非所有特征碼。經(jīng)我嘗試，一個(gè)webshell中有n個(gè)特征碼，而只要有m（m<=n）個(gè)以上就會被查殺，而小于m個(gè)就不會被查殺。
寫完代碼后，做了個(gè)嘗試，以啊D目次檢測東西（asp）為小白鼠。

定位出第75和147行，我們來看看

在這兩行中我們只需簡樸的拆分修改一下字符串，然后就免殺啦：