WEBSHELL恶意代码批量提取清除工具

最新推荐文章于 2021-03-28 11:09:29 发布
最新推荐文章于 2021-03-28 11:09:29 发布
阅读量343 收藏
点赞数
原文链接:http://www.cnblogs.com/17bdw/p/10279648.html
版权

场景

使用D盾扫描到WEBSHELL后可以导出有路径的文本文件。
最后手动去把WEBSHELL复制到桌面然后以文件路径命名,挨个删除。
D盾界面是这样的。

549050-20190117135448023-298652739.jpg

手动一个个找WEBSHELL并且改名效率太低,使用MFC写一个小工具方便去现场以后查WEBSHELL的工作。

技术思路

  • D盾导出路径TXT

549050-20190116215351733-2024564957.png

  • 复制文件到当前程序目录下

  • 删除恶意代码文件

程序

549050-20190117140005346-789069502.png

549050-20190117133659458-44663047.png

549050-20190117141724961-1418936176.jpg

转载于:https://www.cnblogs.com/17bdw/p/10279648.html

san.hang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webshell清理工具
04-27
可检测清除webshell文件
Webshell扫描清理工具
08-27
作为自己有个小站或大站的人,Webshell扫描器应该人手一份,虽然这些工具不能全部彻底清除网站里的后门,但应付大部分的主流Webshell还是很简单的 如果自己的网站里被别人放进了一个Webshell,那可不是件很爽的事情啊!我给站长们推荐2个工具,KOAcha2.0和ScanWebshell ScanWebshell是Lake2大侠写的,我个人很佩服他,这个工具是一个ASP格式的页面,可以查询ASP,cer,cdx,asa以及嵌套调用的任意格式文件,但是图片ASP木马查不到,基本原理是对特别函数的审查。挺好用的,不过也不是万能,现在已经有一些Webshell的佼佼者可以躲过它了。 个人还是比较喜欢用这个:KOA ASP类 WebShell(木马)扫描工具2.0 2009年11月4日发布 更新和增加了如下内容: 1.优化了代码。 2.修正了“查找IIS解析漏洞的文件”时,当文件夹有大写字母没识别的错误。 3.修正了“查找IIS解析漏洞的文件”时,当文件没后缀名时没识别的错误。 就是说“D:\WEBROOT\website\hack.asp\a”的一类木马也能检测出。 4.修正了“include file|virtual”代码的正则检测方式,1.0只能检测正常的“include file|virtual”代码。 现在可以检测 换了行和中间加了全角空格( )等各种变异的“include file|virtual”代码包含文件。 5.修正了“Server.Execute|Transfer”代码的正则检测方式。 现在可以检测各种变异的“Server.Execute|Transfer”代码 6.修正了“RunatScript”代码的正则检测方式。 现在可以检测各种变异的“RunatScript”代码文件。 7.增加了更改文件名的检测。有些木马会修改文件名,当使用木马时会把文件后缀名修改为ASP,不使用时把木马文件后缀名去除。 8.增加了查看、删除、修改代码文件的功能,方便对木马的操作。(友情提示:当查看代码有乱码(可能是UTF8编码)时,请不要用本程序修改代码。) 查看代码时对危险脚步进行了高亮加大。更容易查看危险脚本。
站长必看!Webshell扫描清理工具 说明&下载
神经质的盛宴的专栏
11-18 829
作为自己有个小站或大站的人,Webshell扫描器应该人手一份,虽然这些工 具不能全部彻底清除网站里的后门,但应付大部分的主流Webshell还是很简单的   如果自己的网站里被别人放进了一个Webshell,那可不是件很爽的事情啊!我给站长们推荐2个工具,ASPCandy和ScanWebshell ASPCandy是村雨写的,一个可执行文件,功能不错,能省去手工检测的烦恼。它主要用于检查被
php一句话上传webshell,一句话shell,哪些是恶意的php一句话webshell
weixin_30670745的博客
03-17 358
哪些是恶意的php一句话webshellPHP 是一种创建动态交互性站点2113的强有力的服务器端脚本语5261言。PHP 是免费的,并4102且使用广泛。对于像1653微软 ASP 这样的竞争者来说,PHP 无疑是另一种高效率的选项。PHP 是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。shell脚本中的一句话求解释这是用了aw...
Webshell清除-解决驱动级文件隐藏挂马
weixin_30260399的博客
05-12 113
Webshell清除-解决驱动级文件隐藏挂马 转载于:https://www.cnblogs.com/SZLLQ2000/p/5484735.html
一种多机器学习算法集成的恶意代码检测系统_王子腾
03-28
一种多机器学习算法集成的恶意代码检测系统_王子腾,期刊论文
查杀webshell记录
weixin_33953249的博客
12-01 212
网站被注入,由于每个web前端上包含的项目太多,一个htdocs目录下就20几个,查起来也比较头疼。之前也遇到过,但是那次是被上传到图片服务器,那个服务器根本就没有PHP环境,没有造成什么影响。而这次不同,有几个项目不是自己开发的,采用开源的UC-home。 摘自:http://blackbap.org/bbs/viewthread.php?tid=1058 ...
webshell:免杀webshell生成工具
04-13
webshell v2.0 仅供学习 请勿用作非法用途 更新了部分规则,现在可以绕过包括但不仅限于D盾、webdir+、河马、安全狗等查杀工具 项目适配了asp、aspx、php语言 免杀webshell生成工具 知识点:使用注释分隔eval函数内关键字,使用类和构造函数替代引用函数 blog: command:python php_webshell.py 知识点:使用分隔关键字等绕过 blog: 知识点:使用自定义加密绕过杀软拼接关键字 blog: 知识点:利用函数分隔关键字 更新日志 2021/2/12 由于D盾增加规则 将 if(md5($_GET["pass"])=="df24bfd1325f82ba5fd3d3be2450096e") 作为匹配规则 所以更新专用于D盾的webshell生成器 php_D_webshell.py 只用注释依然可以过D盾 其他生成器不受影响
小七专用免杀webshell
04-25
小七专用免杀webshell,免杀性能好。稳定性强
php源码360免杀,php写的webshell超强免杀工具的代码
weixin_39836860的博客
03-28 219
/*Title: PHP shell nokill T00LBlog: exploit-db.blogcn.com*/error_reporting(0);@ini_set('memory_limit','-1');set_time_limit(0);$toolname="$argv[0]";if ($argc<2) {baner($toolname);die;}$input_file= t...
D盾_Web查杀
12-29
软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。 引擎特别针对,一句话后门,变量函数后门,${}执行 ,`执行, preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数 的参数进行针对性的识别,能查杀更为隐藏的后门, 并把可疑的参数信息展现在你面前,让你能更快速的了解后门的情况
过安全狗asp大马拿webshell 第一美人
04-21
2013年最新的asp大马。功能最强大的asp大马。可过安全狗。防删除隐藏,第一美人asp大马下载
全方位构造免杀 webshell 小结[一]
weixin_30411997的博客
07-28 178
转载自https://klionsec.github.io/2017/10/11/bypasswaf-for-webshell/ 全方位构造免杀 webshell 小结[一] 前言:本文几乎涵盖了市面上所有已知的webshell免杀手段,自己也很清楚,有些东西一旦公布出去,基本就活不太久了,但好在技巧是死的,人是活的,基于前人...
一次清除webshell的实战
weixin_34198762的博客
02-22 1124
昨天一天朋友QQ突然找我,说是它的网站被人家挂马了,让我帮他找出***程序,他的网站是使用phpcms二次开发的,于是上服务器查看下,所有.html.htm.shtm都被挂了马,很明显是批量挂马了,下面给出js挂马的代码 <Scriptlanguage="javascript"><!--functionxx(num,str){v...
WEBwebshell中的不死僵尸和隐藏后门的原理以及删除
HAPPY
08-20 2241
主要是利用系统保留文件名创建无法删除的webshell来隐藏后门。 Windows 下不能够以下面这些字样来命名文件文件夹:   aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9   但是通过cmd的copy命令即可实现:   copy...
asp-Webshell免杀
weixin_44110913的博客
08-23 3294
随着时间的推移和其它新型动态网页技术的兴起,使用ASP(Active Server Page)技术构建的Web应用越来越少。ASP的衰落、旧资料和链接的失效、前辈们早期对ASP较多的研究,都导致了新型ASP网站后门和技术研究的减少。 本篇文章主要梳理ASP一句话Webshell的构建和规避检测软件达到源文件免杀的思路。最终构建能够同时绕过以下表格中8个专业木马查杀工具和平台检测的Webshell,构造出零提示、无警告、无法被检测到的ASP一句话木马后门。 编号 名称 参考链接 1 网站安全狗(.
shell 免杀aspx_Webshell免杀
weixin_39656513的博客
12-31 621
一句话木马在渗透测试中最常用的就是一句话后门(小马)和中国菜刀的配合。如果出现某种WAF防护,就寻找一个免杀的大马挂马。最常见的php一句话木马这个一句话木马由两部分组成,eval用来执行接收的代码。$_POST['x']来接收数值。本着这个原则,尝试改写一句话木马绕过WAF。搜集了几个常用的php函数执行代码的eval、assert、preg_replace接收数据的$_POST、$_GET、$...
WAF SSI
weixin_30654583的博客
02-25 71
http://www.2cto.com/Article/201405/299154.html 转载于:https://www.cnblogs.com/diyunpeng/p/5216819.html
易语言源码易语言http下载模块源码易语言源码易语言http下载模块源码
最新发布
08-05
http,易语言源码易语言http下载模块源码易语言源码易语言http下载模块源码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值