搜加密函数,用来加密的就那几个,正常文件谁加密? Date: Sun, 20 Jul 2008 13:57:23 +0800From: [EMAIL PROTECTED]: [EMAIL PROTECTED]: [Ph4nt0m] Re: 关于针对挂马web的查杀问题
但是如果加密了呢?你如何进行搜索? 2008-07-20 abyssinia 发件人: Neeao 发送时间: 2008-07-19 10:48:09 收件人: [email protected] 抄送: 主题: [Ph4nt0m] Re: 关于针对挂马web的查杀问题 可以提权关键字,做一个关键字匹配的东西。比如一些木马常调用的函数,类名等等,搜索下就ok了,我用EditPlus来做搜索,基本能找到99%的木马。 2008/7/18 abyssinia <[EMAIL PROTECTED]>: 各位大虾再帮忙想想,本人想做一个专门针对脚本恶意代码的查杀工具, 主要想利用函数匹配,比如是否调用了恶意函数, 是否一定要用到虚拟机技术来对付加密等恶意脚本 针对加密等类型的恶意脚本是否有好的检测方法,包括asp、jsp、aspx、php等等 2008-07-18 abyssinia 发件人: abyssinia 发送时间: 2008-07-17 01:31:15 收件人: [email protected] 抄送: 主题: [Ph4nt0m] Re: [Ph4nt0m]_Re:_关于针对挂马web的查杀问题 偶现在主要想谈发现挂马等脚本恶意代码的过程, 针对于加密等技术,是否有比较好的自动查杀方法 2008-07-16 abyssinia 发件人: 骁陈 发送时间: 2008-07-16 15:29:00 收件人: [email protected] 抄送: 主题: [Ph4nt0m]_Re:_关于针对挂马web的查杀问题 如果是JAVA的话,建议把网站程序打成 war包,如果发现挂马,直接清除所有文件,重启服务器,自动恢复. 在08-7-16,Neeao <[EMAIL PROTECTED]> 写道: 近期在考虑一个东东,由于正常的web系统文件的创建者和拥有者一般都是非web匿名账户,那么可以写个工具,仅仅检查所有的web匿名帐号创建的php文件,再从中筛选。 2008/7/15 abyssinia <[EMAIL PROTECTED]>: 针对挂马web的查杀,除开从脚本函数上判断是否有用于webshell的危险函数,和加密脚本 还有一些什么方法可以判断? 现在想做个工具出来,所以请大家提供点思路,~thx 脚本包括asp、php、jsp、aspx等, 2008-07-15 abyssinia -- Neeao's Security Bloghttp://www.neeao.com -- Neeao's Security Bloghttp://www.neeao.com <BR_________________________________________________________________ Windows Live Photo gallery 数码相机的超级伴侣,轻松管理和编辑照片,还能制作全景美图! http://get.live.cn/product/photo.html --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
