谈网站挂马检测与清除方法(2)

 
  > 
  %3E
  k
  %6B
 
 
  ?
  %3F
  l
  %6C
 
 
  @
  %40
  m
  %6D
 
 
  A
  %41
  n
  %6E
 
 
  B
  %42
  o
  %6F
 
 
  C
  %43
  p
  %70
 
 
  D
  %44
  q
  %71
 
 
  E
  %45
  r
  %72
 
 
  F
  %46
  s
  %73
 
 
  G
  %47
  t
  %74
 
 
  H
  %48
  u
  %75
 
 
 

 

 

4.获取该网站相关内容
可以使用Flashget的资源管理器去获取该网站的内容，如图4所示，打开Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索器，在地址中输入“http://ave1.cn/”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。

 
 

图4 使用“站点资源探索器”获取站点资源

说明：
使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。

在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对原代码文件进行分析。