Colorful Life2010

无惧上传类的"反病毒"解决方案
Weather:雾 ,东南风 3-4级 ,最高气温31 ℃

  引题:大约两个月前,突然发现网站后台的上文件上传功能不能用说了,说是找不到类文件。上FTP一看,果然,clsUP.asp文件不见了,很是奇怪,于是重新上传,但FTP软件确认已经上传,而无论怎么刷新都看不到内容。这是怎么了?郁闷了N天,后来在本地打开此文件时,RISING竟然报警说有病毒。我晕!于是上网去搜,果然,由于无惧上传类用的是ado.stream上传,现在大多杀毒软件把其列为病毒,因为其对WIN系统存在“潜在”危险。去无惧上传类的官方网站,也有人问此问题,只是梁无惧似乎没予以理采。

  之后,只好不用此类,而直接用FCKeditor里面的上传功能,好用是好用,但是无法批量上传文件,并且在向日志内容里面插入的时候不方便,因为用无惧的类,可以很自由的定义一些功能,以符合自己的网站。但是在后来的一个机会里发现,不只是无惧上传类用的是ado.stream来上传,很多上传类都用此,而非FSO。那为什么就单单把无惧上传类列为病毒呢?

  从ASP木马说起,ASP木马最基本的一个功能就是文件上传,那么就去看看他里面是怎么用的,不看不知道,一看吓一跳,原来里面用的正是无惧上传类,只是经过“改装”过,但里面的一些关键代码还是没变的,最搞笑的是,变量声明没变,于是俺回来试着改一点点东西看看。

    在无惧上传类的上传文件分析函数中,有这么一段变量声明Dim RequestBinDate,sSpace,bCrLf,sInfo,iInfoStart,iInfoEnd,tStream,iStart,oFileInfo,把其中几个变量的位置变一下,改变一下各个变量的顺序看一下,再上传,OMG,竟然传上服务器了,也就是说NORTON终于把clsUP.asp放过了。天理何在啊?一种技术被恶意应用了,那么这种技术就是恶意的吗?这些所谓的杀毒软件们啊~~那么同理 ,如果ASP木马中也用此方法改了,那杀毒软件的“病毒识别码”不是又失效了?

Dim RequestBinDate,iInfoEnd,bCrLf,sInfo,sSpace,iInfoStart,oFileInfo,tStream,iStart,就是这么简单,改下顺序,这个世界就清静了~~

历史上的今天: [2009/07/22]Ubuntu常用命令大全
[2009/07/22]Mr.Brain第四課 ハホイ二=1362について
[2008/07/22]一条SQL语句,字段联接

[无惧上传类的"反病毒"解决方案]的回复

iChov 于 2005-12-13 14:43:40 发表 | IP:221.3.61.*

园主好强好强,俺都要崇拜了

柠檬园主 于 2005-12-14 09:04:02 发表 | IP:210.83.202.*
em4.gif这么冷的一篇也有人来顶.......多谢多谢....
iChov 于 2005-12-14 14:47:54 发表 | IP:60.209.98.*

哈哈。。客气·客气

4#   littlenew 于 2007-03-23 16:43:41 发表 | IP:61.141.144.*

有点意思,居然这样也能骗过杀毒软件 ,

我给你发了一封邮件,是关于FCKeditor的,希望你能看一下,我的邮箱是:[email protected]

 

还有就是你的这个验证码太小了。我就有点看不清了,我已经把字体设置为最大了,但还是有点小。

 

5#   柠檬园主 于 2007-03-25 21:48:56 发表 | IP:221.201.174.*

邮件已经给你回复了。

验证码嘛,没办法了。是用二进制直接输出的,不好改文件的大小,看不清。可以点一下刷新换个呀。

6#   akira 于 2008-01-29 01:28:52 发表 | IP:222.79.88.*

真是太聪明了,偶像啊

Post a Comment~