瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马解密大讲堂——网马解密中级篇(Freshow工具使用方法)
networkedition - 2009-5-15 10:35:00
卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇

引用:




引用:

大致是以上内容,后续会根据实际的情况来,还会增加相应的内容。中级主要是以大量的网马解密的实例,结合解密工具(Freshow)来进行讲解。本着从浅至深的原则,带领大家一步一步深入的来探索网马解密。来享受网马解密的乐趣。




引用:
今天主要讲解的内容是Freshow工具的使用方法,工欲善其事,必先利其器,首先要学会如何使用解密工具,才能一步一步进入解密的殿堂,揭开网马解密的神秘面纱。好了,我们先来认识认识我们用到工具(Freshow),截图如下


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: freshow.jpg
networkedition - 2009-5-15 10:36:00
freshow工具使用的详细注释如下:



引用:
1.URL:要解密的网址地址
2.Check:用来获取要解密网址的源代码(此工具要在联网状态下使用)
3.上操作区域:获取到的网站源代码在此处显示
4.C:清除代码,用来清除上操作区域和下操作区域的代码
5.P:是复制代码
6.Filter:过滤网页源代码中的js、iframe、script链接
7.Decoder:解密按钮,用来解密加密的网页源代码



引用:

8.过滤选项
Qeye:过滤网页源代码中潜在的恶意链接,如:iframe、script结果会显示在收集区域;
Connect:连接字符串,如‘a+b’,使其变为:ab;
Nuls:过滤空字符串,使得脚本更容易阅读;
Replace:替换字符串;
Reverse:逆转字符,一些特殊的脚本采用这种方式。
解密选项
9.Esc:可以转换%、%u、\x等形式的转义字符,\x可以再操作异或,如果知道确切的值,就在附加区域
里输入它,或者使用枚举异或enumXOR,会自动处理并返回结果 ;
ASCII:可以转换“1,2,3”形式的ASC码,分割符可以覆盖;
US-ASCII :代码类似汉字,且代码中包含有: <meta?http-equiv="Content-Type"?
c?/>
Alpha2:这个算法针对在Replayer的漏洞利用上,首先转换到\x形式,因为可能会经过异或操作;
enumXOR:对十六进制的数据进行枚举异或,并返回结果;
Base64:这种加密方式很少见,加密特征大小写字母及数字混排,末尾可能包含等号;
Winwebmail:网马加密代码中有类似:document.write(unencode(webmm,3422));代码(至今未见过此类加密方式,这个不确定)



引用:

10.密钥 (目前主要ie7.0漏洞的解密需要密钥)
11.UP:将下操作区域的内容翻转到上操作区域进行二次解密
12.上选择按钮:对上操作区域代码进行清空或复制
13.下选择按钮:对下操作区域代码进行清空或复制
14.下操作区域:解密出网马结果显示在此处
15.收集区域:由Qeye筛选出的恶意链接被罗列在这里,可以通过上移、下移、删除、全选等操作。当选
中其中一个链接时,自动处理为新的URL,这时可以check得到新的源代码,显示在上操作区域,可继续
解密
16.ALL: 勾选所有收集区域的地址
17.Del:删除不需要的链接
18.上移按钮:将恶意链接地址进行上移操作
19.下移按钮:将恶意链接地址进行下移操作
20.Log:自动将选择项复制到剪切板并做一定的格式化处理,方便直接在论坛或其他地方与他人共享分
析结果
21.Download:将选择的网马地址复制到剪切板,并下载相应的网马(例如:迅雷、flashget开启状态下
,并设置了监视相应的文件类型,此时点击download按钮就会调出默认的下载工具下载网马。)
22.Obj:目标插入区域,将最终解密出来的网马地址,复制到obj区域,并按Insert插入,它将会被自动
插入到之前选中的链接后,作为子级
23.Insert:插入网马链接地址
24.State:连接状态,可通过连接状态来判断网址是否失效。
networkedition - 2009-5-15 10:37:00
工具下载,内附Freshow工具及中英文版的使用说明(pdf格式)、官方网址,顺便宣传一下jimmyleo大牛哈。

附件: FreShow1.5.rar
networkedition - 2009-5-15 10:37:00
一个完整的freshow日志,其中红色部分均为真实的网马地址:
注意:该网站有多处被挂马,内容都相同,只解出其中一个即可
Log is generated by FreShow.
[wide]http://qianshou.tfol.com
    [script]http://qianshou.tfol.com/Js/highslide-with-html.js
    [script]http://3b3.org/c.js
        [frame]http://4t6nhh.6600.org/a/a100.htm
            [frame]http://4t6nhh.6600.org/a/cnzz.htm
                [frame]http://4t6nhh.6600.org/a/kk.htm
                    [script]http://4t6nhh.6600.org/a/14.js
                        [object]http://xin89221.com/love/windoss.css
                [frame]http://4t6nhh.6600.org/a/flash.htm
                    [frame]http://4t6nhh.6600.org/a/iqq.html
                [object]http://4t6nhh.6600.org/a/i16.swf
                    [object]http://4t6nhh.6600.org/a/i28.swf
                    [object]http://4t6nhh.6600.org/a/i45.swf
                        [object]http://4t6nhh.6600.org/a/i47.swf
                            [object]http://4t6nhh.6600.org/a/i64.swf
                                [object]http://4t6nhh.6600.org/a/i115.swf
                    [frame]http://4t6nhh.6600.org/a/fqq.html
                    [object]http://4t6nhh.6600.org/a/f16.swf
                        [object]http://4t6nhh.6600.org/a/f28.swf
                            [object]http://4t6nhh.6600.org/a/f45.swf
                                [object]http://4t6nhh.6600.org/a/f47.swf
                                    [object]http://4t6nhh.6600.org/a/f64.swf
                                        [object]http://4t6nhh.6600.org/a/f115.swf
                [frame]http://4t6nhh.6600.org/a/xx.htm
                    [script]http://4t6nhh.6600.org/a/xx.js
                        [object]http://xin89221.com/love/windoss.css
                [frame]http://4t6nhh.6600.org/a/office.htm
                    [script]http://4t6nhh.6600.org/a/office.js
                        [object]http://xin89221.com/love/windoss.css
                [frame]http://4t6nhh.6600.org/a/02.htm
                    [script]http://4t6nhh.6600.org/a/set.js
                        [object]http://xin89221.com/love/windoss.css
                [script]http://4t6nhh.6600.org/a/reee.js
                    [frame]http://4t6nhh.6600.org/a/real.htm
                        [script]http://4t6nhh.6600.org/a/real.js
                            [object]http://xin89221.com/love/windoss.css
                    [frame]http://4t6nhh.6600.org/a/real.html
                        [script]http://4t6nhh.6600.org/a/re11.js
                            [object]http://xin89221.com/love/windoss.css
                [script]http://4t6nhh.6600.org/a/rkkk.js
                    [frame]http://4t6nhh.6600.org/a/lz.htm
                        [script]http://4t6nhh.6600.org/a/lz.js
                            [object]http://xin89221.com/love/windoss.css
                    [frame]http://4t6nhh.6600.org/a/bf.htm
                        [script]http://4t6nhh.6600.org/a/bf1.js
                        [script]http://4t6nhh.6600.org/a/bf.js
                            [object]http://xin89221.com/love/windoss.css
networkedition - 2009-5-15 10:37:00
占楼备用
happysunday2003 - 2009-5-15 10:50:00
加油 

楼下排队听课
於陵闲云 - 2009-5-15 11:07:00
哇塞,又上课了
前排听讲:kaka1: :kaka12:
幸福耗子 - 2009-5-15 11:18:00
哇塞 俺来听课了
happysunday2003 - 2009-5-15 11:39:00
卡卡论坛缺少的就是这个板块

加油做下去

杀毒不如防毒
A小可 - 2009-5-15 12:02:00
:kaka12: 我是来偷师的,多学点东西挺好
竹本无ベ - 2009-5-15 20:59:00
今天来继续听课。。。
木马bbbb - 2009-5-15 21:12:00
还是没有看懂啊,解密的地址不全。希望楼主能做个操作过程,多谢了。
badboyhhz - 2009-5-17 20:18:00
看到中级篇了  好好学习
whzl123 - 2009-5-21 22:22:00
主要是内容放在的地方不对。。在什么可疑文件交流区里面。害我好找。。
漫天飘雪 - 2009-5-22 10:11:00
学习了,LZ辛苦了!:kaka1:
黄包车夫 - 2009-5-22 20:56:00
认真学习中,虽然看不懂:kaka6:
方程无解 - 2009-5-24 17:26:00
好啊,楼主厉害。说的也明白,适合当老师。
Bearboy - 2009-5-27 13:09:00
防毒不如种毒:kaka12:
J_muse - 2009-5-31 18:00:00
我要来学习:kaka3:
jieoo7 - 2009-6-6 14:45:00
该用户帖子内容已被屏蔽
vitamno - 2009-6-28 2:14:00
上课上课~好好学习一下~不过下次能不能直接下载看呢?
快乐的一天 - 2009-6-28 16:58:00
又要郁闷了~!我从小就不愿意上课~!:kaka3: 这次我就好好当回学生吧::kaka14:
gtyre2 - 2009-7-2 16:25:00
呵呵,这个只会以点点
以后跟楼主学习
kav2046 - 2009-7-16 21:07:00
继续来新东西,感谢楼主分享如此详细的介绍!:kaka18:
redbsd - 2009-8-20 14:03:00
真是好东西,拿走,呵呵,赞LZ
南京BOBY - 2010-1-30 6:40:00
报告。。。。。我迟到了:kaka12:
防潮生生世世 - 2010-2-25 12:13:00
这日志里flash文件就是网马?
筠林碧湫 - 2010-2-25 13:44:00
好棒好棒 原来一直没弄明白怎么生成日志
防潮生生世世 - 2010-3-1 22:21:00
终于找到下载地址了
感觉2010 - 2010-3-10 16:43:00
听课中
12
查看完整版本: 网马解密大讲堂——网马解密中级篇(Freshow工具使用方法)