学用脚本解密利器，揪出网页木马.docVIP

学用脚本解密利器，揪出网页木马 　　在上一期的文章中，我们讲了如何解密加密的网页木马，其中用到了一些巧妙的Javascript语句。但用手工替换语句的方法解密，对一些朋友来说可能比较头大，因此在本篇文章中，为大家介绍一些小巧易用的工具。轻松地解密各种加密过的网页木马，让网页木马别想瞒过我们! 　　 　　解密目标 　　 　　这次要解密的网页木马脚本，是用最新的“黑手刃2008免杀网马生成器v5.8”生成的网页木马。最新的黑手刃添加了一个最近爆出的Windows系统的Works组件溢出漏洞。利用此漏洞生成的网页木马是完全免杀的，威力非常之大。 　　运行黑手刃v5.8后。输入要下载的木马地址，勾选界面中的“Microsoft works Oday过最新补丁ie6 ie7通杀”项。并选择生成的网页木马类型为“HTML”。然后点击“点击生成”按钮。即可生成名为“Works.htm”的网页木马文件。 　　用记事本打开生成的“Works.htm”网页木马，可以看到这是一个更为让人头疼的加密方式。也正是由于这种加密方式的隐藏性，才能让黑手刃生成的木马。躲过全球36款杀毒软件的查杀!将生成的网页木马上传到进行检测，发现36款全球最强的杀毒软件，居然只有两款检测出网页是经过加密的，并且没有提示为木马，而其它的杀毒软件则全部认为该网页木马是正常安全的。 　　36款杀毒软件都无法识别出这个网页木马，看来也只有靠人自己检测网页的安全性才是最可靠的。碰到这类加密网页。只有自已解密后，才能确定网页中是否有木马。 　　 　　逆序代码 　　查看加密源码。可以发现，从“Imth/daehImthImth/”的逆序字符串。因此解密的第一步是要将字符顺序还原。 　　运行一个叫作Freeshow的工具，将从“Imth/daehImth”中间的所有代码复制，粘贴到上面的输入框中。在下方的转换下拉列表中选择“Reverse”，该功能是用于转换字符对其进行逆序的。然后点击“Filter”按钮。即可在下方看到被转换过来的正常代码段了。 　　 　　shellcode的解密 　　由于网页是给过多段加密的。所以也只能分段解密。复制逆序过的代码，将其粘贴到原代码文件中，替换掉原来未解密的代码段。要注意的是，在此过程中。千万不要将其它的代码给误删除或替换了。此时，可以看到大部份代码都是明文了，只有在两个“unescape()”函数中有形如“％u+OcOc+％u+OcOc”之类的加密代码。其实这是一段sheltcode溢出加密代码，要解密此段代码，需要用特殊的工具和步骤。 　　首先。需要清除代码中的+号和半角双引号：复制une scape()中的所有代码。将上方的输入框清空，粘贴入代码后，设置解密功能为“Connect”，点击“Filter”按钮，即可在下方显示去掉了连接符的代码。 　　复制下方输入框中的所有代码，下载一个名为“MonyerJS.html”的解密工具。用IE浏览打开此解密网页工具，将代码粘贴入其中。然后点击右侧的“Shellcode解密”按钮。即可看到解密的Shellcode代码了。代码前部有许多乱码，不用管它。只需看最后的一个链接形式的代码。例如这里为“/binghexijian/test.exe”，这就是网页木马程序的链接地址了。可将其下载后进一步分析；即可揪出攻击者的来源和地址。甚至进行反攻击! 　　在这篇文章中，我们只是简单的利用了一下Freeshow和MonyerJS中的几个解密功能。其实这两个工具是非常强大的，里面有许多解密功能，值得大家细细琢磨! 3