小默

网马解密大讲堂

form:瑞星卡卡技术社区
by: networkedition
======================
==================
Document.write
解密方法之alert方法:将网马代码中的document.write替换为alert。
eg.弹出对话框<script src=3.css></script>
   将此代码粘贴至freshow上操作区域,点击filter按钮,数据收集区3.css木马网址。
   点击3.css,进行check链接获取网页源代码。
   解密选项自然选择alpha2,点击decode进行解密
   点击UP按钮,将第一次解密的结果上翻至上操作区域进行第二次解密,解密选项选择esc,获得网马下载地址
   点击insert按钮,将解密出的网马地址插入数据收集区
   点击all按钮全选,再点击log按钮,将解密出日志格式化输出。

==================

Alpha2
该加密方式特征,代码开头:TYIIIIIIIIIIIIIIII
解密方法:一次Alpha2解密,一次esc解密

==================
shellcode
Shellcode网马特征:以相同分隔符(一般为%u)分隔的4位一组的十六进制字符串。
解密方法:
-对于直接使用%u来分隔的shellcode,通过两次esc可以直接解密出网马地址。
-对于通过类shellcode形式加密的网马,可以通过将代码进行适当处理(将代码替换为分隔符%u),再进行两次esc解密

==================
Base64

Base64加密原理:(摘自小聪大牛的博客)

  把每三个字符,共24位2进制的ASCII码,折分成连续4个6位的ASCII码,再在每个ASCII码前面补00变成8位, 最后对应一个码表来变成编码字符:

码表为(从0~63分别依次对应):
0对应A………………………………………………………………………………63对应/
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
如果最后不够3位数,则补0,这时后面对应的编码是“=”
例:原文:                a                  b                c
  ASCII码:    01100001 | 01100010 | 01100011
        分成4个:    011000 | 010110 | 001001 | 100011
        补足位数: 00011000 | 00010110 | 00001001 | 00100011
        数值大小:        24                22                9                  35
        对应编码:        Y                  W                J                  j
        编码结果:    YWJj

        如果只有ab两个字符,则第三个字符用全0来代替,这时结果为YWI=
        其实按照算法,=对应的编码其实也可以认为是为0,所以QQ==和QQAA用来解密的话,都是A,但是后面补0时用“=”是加密算法自己的设置,所以加密结果只能是QQ==而不会是QQAA
知道了加密原理,解密原理就反其道而行之就行了,呵呵……
-----------------
加密特征:

    大小写字母及数字混排,末尾可能包含等号
------------------
Base64解密方法:

    我们还是以一个实例来简单讲解base64解密方法,在实际的网马解密中,这种加密方式很少见。今天我们提供一种解密的方法,在这里用到的解密工具为:notepad++ 这个软件(附件为notepad++)。后续我们还会讲解使用一些其他的解密工具来解密base64。
 

======================
US-ASCII
加密特征:代码类似汉字,且代码中包含有<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" />
解密方法:使用freshow工具解密时,解密选项选择US-ASCII,直接一次decode即可

=====================
eval
解密方法:malzilla->Decode->Run script

=====================
swf

Flash网马简介:flash网马是利用Adobe Flash Player播放器严重安全漏洞, 攻击者可以通过精心设计的特殊SWF文件实施攻击。浏览这些特殊构造的SWF文件,会运行攻击者设定的任意代码。

Flash网马解密方法:今天我们主要来讲解如何利用(HTMLDecoder)工具,对flash网马进行解密。此工具由小祥大牛开发的一款自动网马解密工具,内附有flash网马解密功能,在这里宣传一下小祥大牛哈。工具下载见附件,本次讲解不提供具体的swf文件下载,防止一些网友不明,胡乱运行导致系统中毒。主要讲解对于flash网马如何解密的方法.

功能-执行:A>PDF/CWS/Zlib Extractor   

======================
PDF

pdf漏洞简介:PDF是由“Adobe Acrobat”制作的,它存在一个攻击漏洞——可以在PDF文档中,利用“Adobe Acrobat”提供的Javascript脚本功能,执行任意攻击命令。
解密方法:pdf网马和swf网马一样,解密工具都是可以使用htmldecoder工具,解密方法和网马解密高级篇(SWF解密)一样。今天讲解的这个pdf网马,可以直接使用freshow这个工具来解密,因为这个pdf包含的shellcode直接可以通过记事本看到。小技巧:对于pdf或swf格式的文件我们可以通过记事本的方式打开,直接查看文件的源代码,你会有惊奇的发现,尤其是网马解密,里面说不定就有你要的网马地址呢,呵呵。本次讲解同样不提供pdf文件的下载,以免不明网友,下载后运行而导致系统中招。

.pdf源文件中复制出来的shellcode代码--带密钥的shellcode--FreShow


posted on 2010-06-17 13:22 小默 阅读(595) 评论(0)  编辑 收藏 引用 所属分类: Security


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理


导航

统计

留言簿(13)

随笔分类(287)

随笔档案(289)

漏洞

搜索

积分与排名

最新评论

阅读排行榜