一些掛馬技術(shù)

現(xiàn)在的掛馬客賺錢賺到手發(fā)軟了， 抱著能中就行、裝殺軟有幾個會中的這種心態(tài)， 所以不屑于改變已有的技術(shù)模式。 下面我就隨便說一說一些高級掛馬技術(shù)：

比如06年某牛寫的一篇HeapSpray In Flash的未公開的文檔， 使用了ActionScript的ByteArray類實現(xiàn)堆噴， 整個EXP除開調(diào)用AX部分和漏洞BUFFER部分使用了ExternalInterface.call來運行JS， 完全實現(xiàn)了一個不需要JS的純FLASH的HeapSpray模版。

在冰狐浪子網(wǎng)馬時代就被使用過的， 當(dāng)時沒有任何殺毒軟件能殺， 僅僅幾個人私下在用的AJAX EVAL responseText全免殺網(wǎng)馬。

今年上半年還看過的用RSA密鑰對稱加密算法掛馬的代碼， 保證每個單獨的會話和來源才會返回密文解密中馬。

我自己研究過的FJAX技術(shù)的探測系統(tǒng)補丁以及殺毒軟件的掛馬框架。

。 。 。 。 。 。

其實我覺得掛馬的技術(shù)層級實在不高， 僅僅是一個猥瑣的思路。 包括我自己做為一個甲方的人， 沒有必要將這些猥瑣的攻擊技術(shù)， 當(dāng)成賺錢的砝碼和炫耀的資本。