leeeryan

前天shadow在群里提到或许可以采取一些方法来实现对挂马检测系统的绕过，遂与其深入探讨了下，事后又考虑到网马的精确投放，总结了一些点做了点儿技术实现，并在这里简单记录下想到的一些想法，欢迎其他大牛不吝指教。1、通过判断客户端安装程序指定挂马这个是个老早的话题，早在两年前cos他们就在xkungfoo议题上提到过了：通过img标签远程域检测本地域软件是否存在 。当然还可以通过其他方式，譬如判断目标组件是否可被调用等。这样做主要有几方面原因：一是对于某些搞不定的杀毒软件、防火墙或hips直接采取绕过的

<br /> Drive-By Download是一种网络攻击手段，国内称为“网站挂马攻击”。Drive-By Download是当今最流行的恶意软件传播手段，它主要是综合大量的已知漏洞(也可能包括未知漏洞)对用户的浏览器发起攻击。可实施Drive-By Download的综合性+工具相当多，大多都是傻瓜式的，如著名的Zeus, Phoenix等exploit套件，它们都具有较高的易用性和成功率，drivesploit是一个基于metasploit的Drive-By Download

<br /> Closure Compiler是一个javascript优化编译工具，它会解析javascript代码并分析，移除其中的无用和重复代码，尽最大可能减少javascript的大小。它还能够检测语法错误和变量引用、类型、警告及常见的javascript陷阱。Closure Compiler被用在许多google开发的javascript应用程序中，包括Gmail，Google Web Search，Google Maps和Google Docs等。<br />工具更多信息及下

现在各主流杀软对IE网马的查杀规律其实比较明了，主要集中在下列几个地方：1）ShellCode。如“var sc="%u6a90%u596a%u09eb%u805e……"”，SC一般都是以UNCIDOE形式给出的，自然是重点查杀对象，需作相应的变形。2）  内存扩充代码。这部分代码相信大家比较熟悉，用JavaScript写的，一般整段代码都作为查杀对象。如果能从中挑出一部分代码作变形的话，躲避查杀也是有可能的。变形的方法之一就是通过String.fromCharCode函数来回切换。3）  漏洞特征点，例如

<br />一、病毒可疑文件分析<br />http://www.virscan.org/<br />http://www.virustotal.com/zh-cn/<br />二、网站挂马检测<br />http://union.rising.com.cn/index/index.aspx<br />三、在线杀毒网站<br />国内网站：<br />1.瑞星在线杀毒http://online.rising.com.cn/free/index.htm<br />2.金山毒霸在线杀毒http://

<br />comctl32.dll是Windows应用程序公用GUI图形用户界面模块。 在使用第三方可伸缩矢量图形 (SVG) 查看器时，Windows 公共控件库呈现特制网站的方式中存在一个远程执行代码漏洞。 如果用户访问了特制网页，此漏洞可能允许远程执行代码。<br /><br />[+]info:<br />~~~~~~~~~<br />MS10-081<br />CVE-2010-2746<br /><br />[+]poc:<br />#!/usr/bin/env ruby