Split函数黑客化，轻松免杀ASP木马

现在找个免杀的ASP木马还真不容易，在网上找了半个多小时．没有一个免杀的，全部倒到了卡巴斯基的脚下!就小马来说，火狐内部免杀ASP小马还是很不错的．目前基本上还能免杀．我一般上传小马时都用这个。针对软件的免杀方法有很多．如修改特征码、去头加花等．但是针对ASP木马的免杀方法不是很多．一般就是VBScript加密，这个方法放在以前还可以，现在则不行了．杀毒软件会自动解密文件后再查杀．所以ASP木马在不断更新的杀毒软件面前越来越没有立足之地了，不过只要我们认真思考，免杀的方法总是有的。

另类绕过Ring3下inline hook

看了黑防第4期的《霸王卸甲之击退nProtect保护体系》一文后，有所收获，感觉不管是针对Ring3还是Ring0级别的hook，其实没有太多的方法来绕过，原因很简单，因为API函数的调用流程基本上已经固定了，我们没有太多的余地去改变它，文中的方法基本上能够满足通用的unhook效果，现在的hook基本也就是修改函数入口的前五个字节为jmp．也有通过修改PE导入表来进行hook的。不过有的程序不具有标准的PE文件格式，所以修改PE导入表的方法可能无法达到hook的目的，而且通过GetProcAddress函数动态调用API可以绕过导入表式的hook．

编程打造Cookie大盗

当我们登录某个网站后，若网站采用的是Cookie验证，这时一般会在登录者的系统中生成一个记录Cookie的文本文件，里面有我们感兴趣的用户名和密码。有许多网站都有让用户选择Cookie的过期时间，有保存一天或者更长的时间，像我们黑防论坛在登录时就有一个永久登录，也是在选择Cookfe的生存时间，相信大家都遇到过。在我们注销或关闭网页前，Cookie中的用户名和密码始终存在，注销后，

利用Session验证做后门

我们最常用的ASP后门要属一句话木马了，因为一句话木马体积小，就那么几个字符，便于隐藏，而且使用起来相当的方便，用它作后门再合适不过了。不过现在杀毒软件也比较厉害，像什么站长ASP助手等只要一扫描，

利用目标资源实现进程的DLL注入

DLL注入已经是一个老话题了，现在广泛流行的是使用VirtualAllocEx、WriteProcessMemory、CreateRemoteThread这几个API函数，其实还有几个DLL注入的方法，其中一个比较有趣，就是调用VirtualAllocEx、WriteProcess Memory、SetThread Context来进行DLL注入。

基于主线程的DLL注入实现

我以前发表的《利用目标资源实现进程的DLL注入》一文采用了一个SetThreadContext函数来实现注入，注入方法复杂且有很多限制，因为CreateRemoteThread和SetThreadContext函数被杀软盯上了，

完美抵御AUTO病毒

现在病毒越来越多，每年不知新生多少病毒，我们的电脑可是遭殃了，不知什么时候，病毒已经“随风潜入夜，感染细无声”了，等发现以为时已晚，尤其是auto病毒，不知何时就从U盘跑到电脑上去了，让人措手不及。病毒在每个盘都放个autorun．inf文件．该文件指向病毒路径，当你双击盘符时，病毒就在暗中运行了。现在免疫auto病毒的方法很少，而且不是很完善，经过几天的探索，我发现了一个好方法可以完美抵御auto病毒。

C#初探网络文件传输

现在的木马越来越多，功能也变得越来越强悍，不过功能再多，其中一样功能几乎是必不可少的，那就是控制对方电脑后，可以把自己的文件上传到对方电脑。这个功能是怎么实现的呢？今天我们就用C#语言一探它的奥秘吧!

C#暴力破解一句话

你可能遇到过这样的情况，当你准备用数据库插马漏洞入侵某个网站时，若数据库是ASP格式的，在IE打开数据库网址后，可能会看到下面的语句：

数字化脚本免杀法

最近在网上闲逛，偶然看到一段关于VB加密的文章，虽然只是简单提了一下，但我觉得想法很不错，这招要是用在ASP木马的免杀上就太恰如其分了。正好这段时间正在研究ASP木马的免杀，真是“踏破铁鞋无觅处，得来全不费工夫啊”。大家一定很想知道是什么加密方法吧？事实上说穿了，这个方法也没有什么新意，我们玩脚本的应该都有过亲身体验。当在网站后台插马时，若网站过滤了单引号等，