再谈一句话木马

传改名成JPG的马,备份数据库成ASP.这是一套很熟悉也很常见的拿webshell的手段
但不知道从何时开始.往往这样的成功几率越来越小

  什么原因呢.
  相信用过下载者的人都知道"太"容易被发现.被杀.体积小,杀毒软件在对特征码的判断上存在很大不确定性.所以不能果断的杀掉.因为这样1句话马就这样应运而生了
  1句话木马都是以一个执行函数做为载体,所以把一句话木马插到真正的数据库里或者是把一个最小的数据库与一句话ASP木马copy 合并在一起都是可以的,
  拿1个ASP小马做比方"<%execute request("value")%>"我们来看看这句话的意思,request("value")是来自client的提交脚本.是我们提交的1个数据,服务端负责接受这个数据,以后的事交给execute这个函数来执行(题外话:所谓的C/S马指的是client/service客户端／服务端就是说这个，比如海洋的２００６Ｃ／Ｓ版).

        1个不是很恰当的比喻条子扫黄扫的很厉害.做小姐的不好出来拉生意.怎么办呢.皮条客出现了.因为条子注意的是女性.对男的的不是很注意,也就逃过了(这里性别的区别和木马里的体积大小区别有相识性).皮条客只负责拉皮条.接洽的事情也就交给了小姐,这是和他没有关系.但小姐拉客的目的达到了(有点黄-_-!!)

　　换个来说<%eval request(("#"))%>这里的eval也是执行函数，用如下测试下吧．<%response.write (eval(1+1))%>搞定出来的是2,他把括号里面的给执行了．我们把括号里面的换成我们要提交的东西．就可以把他执行．

仔细看这句话,execute是运行在服务器中的.而request是我们和入侵服务器服务器的纽带和比喻中的皮条客相似.
下面谈谈1句话马的防范措施
通过原理我们知道数据库是１句话马的关键是把马插到数据库文件里去，所以相对来说隐藏网站的数据库是我们首要做的．改掉mdb成ASP啊，改掉默认的名字啊.把危险的字符给过滤，防止暴库，检测提交的脚本函数啊等等都可以．