📄 data.asm
字号:
ICO_MAIN equ 1000
DLG_MAIN equ 1000
IDC_Open equ 1001
IDC_Directory equ 1002
IDC_File equ 1003
IDC_ChenLook equ 1004
IDC_About equ 1005
IDC_Wolf equ 1006
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
.data?
hInstance dd ?
hWinMain dd ?
dwFolderCount dd ?
szPath db MAX_PATH dup (?)
hFile dd ?
hMemory dd ?
hSize1 dd ?
hSize2 dd ?
hSize3 dd ?
hSize4 dd ?
hSize5 dd ?
hSize6 dd ?
hSize7 dd ?
hSize8 dd ?
hSize9 dd ?
hSize10 dd ?
hSize11 dd ?
hSize12 dd ?
hSize13 dd ?
hSize14 dd ?
hSize15 dd ?
hSize16 dd ?
hSize17 dd ?
hSize18 dd ?
hSize19 dd ?
hSize20 dd ?
hSize21 dd ?
hSize22 dd ?
hSize23 dd ?
hSize24 dd ?
hSize25 dd ?
hSize26 dd ?
hSize27 dd ?
hSize28 dd ?
hSize29 dd ?
hSize30 dd ?
hSize31 dd ?
lpBuffer1 db MAX_PATH dup(?)
lpBuffer2 db MAX_PATH dup(?)
lpBuffer3 db MAX_PATH dup(?)
lpBuffer4 db MAX_PATH dup(?)
lpBuffer5 db MAX_PATH dup(?)
lpBuffer6 db MAX_PATH dup(?)
lpBuffer7 db MAX_PATH dup(?)
lpBuffer8 db MAX_PATH dup(?)
lpBuffer9 db MAX_PATH dup(?)
lpBuffer10 db MAX_PATH dup(?)
lpBuffer11 db MAX_PATH dup(?)
lpBuffer12 db MAX_PATH dup(?)
lpBuffer13 db MAX_PATH dup(?)
lpBuffer14 db MAX_PATH dup(?)
lpBuffer15 db MAX_PATH dup(?)
lpBuffer16 db MAX_PATH dup(?)
lpBuffer17 db MAX_PATH dup(?)
lpBuffer18 db MAX_PATH dup(?)
lpBuffer19 db MAX_PATH dup(?)
lpBuffer20 db MAX_PATH dup(?)
lpBuffer21 db MAX_PATH dup(?)
lpBuffer22 db MAX_PATH dup(?)
lpBuffer23 db MAX_PATH dup(?)
lpBuffer24 db MAX_PATH dup(?)
lpBuffer25 db MAX_PATH dup(?)
lpBuffer26 db MAX_PATH dup(?)
lpBuffer27 db MAX_PATH dup(?)
lpBuffer28 db MAX_PATH dup(?)
lpBuffer29 db MAX_PATH dup(?)
lpBuffer30 db MAX_PATH dup(?)
lpBuffer31 db MAX_PATH dup(?)
.data
FileData WIN32_FIND_DATA <>
binfo BROWSEINFO <>
szXie db '\',0
szFilter db '*.*',0
szFile db 256 dup(0)
szFileLook db 156 dup(0)
szErorr db '找不到文件',0
szLook db '如果文件可疑,请按回车进行删除,否则关闭!',0
szChengGong db '文件删除成功!',0
sztitle db '恭喜',0
szRin db 'web目录扫描完成,是否查看日志?',0
szLogFile db 'C:\AsmFile.log',0
szabout db '此工具由本人独立开发完成,欢迎使用',0dh,0ah
db '工具的用途就是检测web目录上的恶意脚本',0dh,0ah
db '可以说,只要收集的脚本木马的数据多点,就没有查不到的',0dh,0ah
db '所以这个工具的木马特征收集一直都在完善中',0dh,0ah
db 'By Asm 红狼安全小组[C.R.S.T]',0
szSay db '关于工具的一点说明',0
szWolf db 'http://www.wolfexp.net/forum/index.php',0
lpNumberOfBytesRead DWORD ?
sz1 db 'WScript.Shell',0 ;包含危险组件
sz2 db 'Shell.Application',0 ;包含危险组件
sz3 db '<%@ LANGUAGE = VBScript.Encode %>',0 ;加密
sz4 db 'clsid:0D43FE01-F093-11CF-8940-',0 ;包含危险组件
sz5 db '<SCRIPT RUNAT=SERVER LANGUAGE=',0 ;包含危险特征
sz6 db '<%execute request',0 ;包含危险特征一句话木马
sz7 db 'java.util',0 ;JSP木马
sz8 db 'System.Diagnostics',0
sz9 db 'POST[cmd]',0 ;php木马
sz10 db '<%eval request',0
sz11 db 'System.Net.Sockets',0
sz12 db 'MSXML2.XMLHTTP',0
sz13 db 'cmd',0 ;提权
sz14 db 'GetSpecialFolder',0
sz15 db '<?require(", ',0 ;php一句话
sz16 db '4e454c33322',0 ;
sz17 db 'function gn(n){var number =',0 ;包含危险特征
sz18 db '&S=S:)rtSlqS(etucexE',0
sz19 db 'width="0" height="0"></iframe>',0
sz20 db 'var X=function(m){return String',0
sz21 db '<%@LANGUAGE="JScript" CODEPAGE=',0
sz22 db '<% Response.write "输入马的内容:" %>',0
sz23 db 'CreateObje',0
sz24 db 'Cc_Dm_CurrentFolder',0
sz25 db 'Sunrise_Chen',0
sz26 db 'UpFile_Class',0
sz27 db 'FileInfo_Class',0
sz28 db 'shell_exec',0
sz29 db 'cyfddata',0
sz30 db 'syfdpath',0
sz31 db 'Eval',0
sz1a db '包含WScript.Shell',0dh,0ah
sza db '该组件被asp脚本木马利用....危险程度:高---^',0
sz2b db '包含Shell.Application',0dh,0ah
szb db '该组件被asp脚本木马利用....危险程度:高---^',0
sz3c db '包含<%@ LANGUAGE = VBScript.Encode %>',0dh,0ah
szc db '此文件被加密,非常可疑....危险程度:极高---^',0
sz4d db '包含clsid:0D43FE01-F093-11CF-8940-00A0C9054228',0dh,0ah
szd db '该组件被asp脚本木马利用....危险程度:高---^',0
sz5e db '包含<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>',0dh,0ah
sze db '该语句有危险特征被利用....危险程度:高---^',0
sz6f db '包含<%execute request',0dh,0ah
szf db '包含危险一句话木马字符串...危险程度:高---^',0
sz7g db '包含java.util',0dh,0ah
szg db '拥有危险JSP脚本木马字符串...危险程度:高---^',0
sz8h db '包含System.Diagnostics',0dh,0ah
szh db '拥有危险特征脚本木马字符串...危险程度:高---^',0
sz9i db '包含POST[cmd]',0dh,0ah
szi db '拥有危险PHP脚本木马字符串...危险程度:高---^',0
sz10j db '包含<%eval request',0dh,0ah
szj db '包含危险一句话木马字符串...危险程度:高---^',0
sz11k db '包含System.Net.Sockets',0dh,0ah
szk db '该语句有危险特征被利用....危险程度:高---^',0
sz12l db '包含MSXML2.XMLHTTP',0dh,0ah
szl db '该语句有危险特征被利用....危险程度:高---^',0
sz13m db '包含cmd',0dh,0ah
szm db '该语句有危险特征被利用....危险程度:高---^',0
sz14n db '包含GetSpecialFolder',0dh,0ah
szn db '该语句有危险特征被利用....危险程度:高---^',0
sz15o db '包含<?require(", ',0dh,0ah
szo db '拥有危险PHP脚本木马字符串...危险程度:高---^',0
sz16p db '包含4e454c33322',0dh,0ah
szp db '该语句有危险特征被利用....危险程度:高---^',0
sz17q db '包含function gn(n){var number = Math.random',0dh,0ah
szq db '该语句有危险特征被利用....危险程度:高---^',0
sz18x db '包含&S=S:)rtSlqS(etucexE.nnoC:eslE',0dh,0ah
szx db '语句有木马特征被利用....危险程度:极高---^',0
sz19y db '包含width="0" height="0"></iframe>',0dh,0ah
szy db '该文件极有可能被挂马....危险程度:极高---^',0
sz20z db '包含var X=function',0dh,0ah
szz db '该文件极有可能被加密....危险程度:高---^',0
sz21a db '包含<%@LANGUAGE="JScript" CODEPAGE="936"%>',0dh,0ah
sz21b db '语句有木马特征被利用....危险程度:极高---^',0
sz22a db '包含<% Response.write "输入马的内容:" %>',0dh,0ah
sz22b db '语句有木马特征被利用....危险程度:极高---^',0
sz23a db '包含CreateObject',0dh,0ah
sz23b db '语句有木马特征被利用....危险程度:极高---^',0
sz24a db '包含Cc_Dm_CurrentFolder',0dh,0ah
sz24b db '语句有木马特征被利用....危险程度:极高---^',0
sz25a db '包含Sunrise_Chen',0dh,0ah
sz25b db '语句有木马特征被利用....危险程度:极高---^',0
sz26a db '包含UpFile_Class',0dh,0ah
sz26b db '语句有木马特征被利用....危险程度:极高---^',0
sz27a db '包含FileInfo_Class',0dh,0ah
sz27b db '语句有木马特征被利用....危险程度:极高---^',0
sz28a db '包含shell_exec',0dh,0ah
sz28b db '语句有木马特征被利用....危险程度:极高---^',0
sz29a db '包含cyfddata',0dh,0ah
sz29b db '语句有木马特征被利用....危险程度:极高---^',0
sz30a db '包含syfdpath',0dh,0ah
sz30b db '语句有木马特征被利用....危险程度:极高---^',0
sz31a db '包含Eval',0dh,0ah
sz31b db '语句有木马特征被利用....危险程度:极高---^',0
.const
MEMORYSIZE equ 65535
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -