首页 开发工具 php开发环境(集成) 网站恶意网页木马扫描器(WebshellScanner)

网站恶意网页木马扫描器(WebshellScanner)  持扫描木马类型： asp/aspx/php/jsp/asa/cer
软件主要功能：
1.搜索网站里面的网页木马（Webshell）
2.生成统计报表
用来查询网站是不是被挂马了，一般用于服务器上的操作，或将服务器上的源码下载到本地，然后用此软件查找。
处理了一下第一版大家的要求，修复了一些小的bug，加入了自动更新程序，在windows2003、windows xp、windows 2000 server 无.net环境下测试通过，简单的更新说明如下：
1.添加自动升级模块，.net环境下可完成在线升级；
--------------------------------------------------------
升级需要请求服务器下载文件替换，如果下载失败，请手动下载更新。更新程序需要服务器装有.net v2.0.50727 版本以上的环境才能运行，因此不支持.net的服务器无法使用自动更新。
2.无需.net环境运行扫描程序；
--------------------------------------------------------
这个问题比较头疼的，程序是.NET 开发的，需要安装 .NET Framework，但Windows 2000、Windows XP 和 Windows 2003 默认都没有.NET 2.0 运行环境。于是利用移动飞信的原理，利用fetion的程序加载主程序，可以使主程序可以运行在不支持.net的环境下。大家可以用VMDotNet包中的文件运行大多数.net开发的程序，如果缺少dll，加上即可。
3.添加asp规则，主要针对asp的webshell绕过机制；
--------------------------------------------------------
由于本来的规则基本是lake2的规则以及少许修改版，于是很多同志找出了很多绕过逃避检测的机制，比如用access或者excel创建asp文件的小马，比如include包含gif之类的伎俩等等等等。本版中这些绕过机制均得到处理。（还想绕过的朋友try一下看看我的正则健壮不健壮）
4.更新php规则，添加了eval下运行的少数加密函数；
--------------------------------------------------------
php下把加密的文件先通过函数解密再eval运行，本次版本处理了几个不常见的函数：gzinflate 、str_rot13等等；php确实还有很多绕过的方法，而且很难检测，呜呼哀哉，我也没辙了...
5.增加了利用IIS6.0文件夹解析漏洞以及文件解析漏洞隐藏的shell的检查；
--------------------------------------------------------
这个没啥好说的，目录叫1.asp或者文件叫1.asp;2.jpg，很显然被人入侵了，需要仔细检查检查问题了。
6.修复一处bug(驱动器下第一层目录无法扫描)；
--------------------------------------------------------
测试的时候无意中发现的，貌似还没有人向我提交这个问题，估计大家都直接扫目录的，并没有扫盘（确实没必要扫盘~） 

相关文章

See all articles