可以提权关键字,做一个关键字匹配的东西。比如一些木马常调用的函数,类名等等,搜索下就ok了,我用EditPlus来做搜索,基本能找到99%的木马。
2008/7/18 abyssinia <[EMAIL PROTECTED]>: > 各位大虾再帮忙想想,本人想做一个专门针对脚本恶意代码的查杀工具, > 主要想利用函数匹配,比如是否调用了恶意函数, > 是否一定要用到虚拟机技术来对付加密等恶意脚本 > 针对加密等类型的恶意脚本是否有好的检测方法,包括asp、jsp、aspx、php等等 > > > 2008-07-18 > ------------------------------ > abyssinia > ------------------------------ > *发件人:* abyssinia > *发送时间:* 2008-07-17 01:31:15 > *收件人:* [email protected] > *抄送:* > *主题:* [Ph4nt0m] Re: [Ph4nt0m]_Re:_关于针对挂马web的查杀问题 > 偶现在主要想谈发现挂马等脚本恶意代码的过程, > 针对于加密等技术,是否有比较好的自动查杀方法 > > > > 2008-07-16 > ------------------------------ > abyssinia > ------------------------------ > *发件人:* 骁陈 > *发送时间:* 2008-07-16 15:29:00 > *收件人:* [email protected] > *抄送:* > *主题:* [Ph4nt0m]_Re:_关于针对挂马web的查杀问题 > 如果是JAVA的话,建议把网站程序打成 war包,如果发现挂马,直接清除所有文件,重启服务器,自动恢复. > > 在08-7-16,Neeao <[EMAIL PROTECTED]> 写道: >> >> >> 近期在考虑一个东东,由于正常的web系统文件的创建者和拥有者一般都是非web匿名账户,那么可以写个工具,仅仅检查所有的web匿名帐号创建的php文件,再从中筛选。 >> >> 2008/7/15 abyssinia <[EMAIL PROTECTED]>: >> >>> 针对挂马web的查杀,除开从脚本函数上判断是否有用于webshell的危险函数,和加密脚本 >>> 还有一些什么方法可以判断? >>> 现在想做个工具出来,所以请大家提供点思路,~thx >>> 脚本包括asp、php、jsp、aspx等, >>> >>> 2008-07-15 >>> ------------------------------ >>> abyssinia >>> >>> >>> >>> >> >> >> -- >> Neeao's Security Blog >> http://www.neeao.com >> >> >> > > > -- Neeao's Security Blog http://www.neeao.com --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
