瑞星卡卡安全论坛

     

引用:

在网页制作中css(层叠样式表：定义一些网站的字体、标题等的大小、颜色、宽度、高度等)，在网吗解密获取的源代码中我们也可以看到一般在网站头部有对定义好的css引用，见下图：

css.jpg (157.69 K)

2009-5-25 14:40:12

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

我们先来看一个正常的css内容会是什么，详见下图：




上图为一个正常的css内容，我们可以简单看一下都是对一些表格、链接的颜色等等的定义

大家可能会问，在这里会不会挂马呢，答案是毋庸置疑的，在我们实际分析一些被挂马网站中，在css也会被插入一些恶意的链接地址。但这类方式不是很常见。接下来我们在看一下解密出来，被认为是网马的css。看一下它的内容会是什么呢。就以http://cao360.vu.cx/bb.css这个为例，按这个地址将其下载，详见截图：



上图为下载bb.css内容，我们看到有很多的乱码，红色框一串英文内容是我们可以读懂的，大致意思是这个程序无法在dos模式下运行，ok，我们知道windows的pe程序是无法在dos模式运行的，从这点我们可以简单判断一下这个css可能是一个可执行程序。

既然这个bb.css我们初步判断是个可执行程序，那么我们将其扩展名修改为exe，再使用peid这个工具来进一步分析一下，这个bb.css是否为一个可执行程序呢。





我们看到这个exe实际上是个upx壳。

实际上通过上述两个方面的验证，这个bb.css就是一个可执行程序，将其扩展名修改为exe后即可运行。有感兴趣的网友可以在虚拟机里跑一下，看一个这个网马具体行为。当然，玩病毒很牛的大牛可以在实机运行:kaka12: ，在这里不建议对手动处理的病毒不是很精通网友下载运行，而导致中招，带来不必要的麻烦。

我们再来看一下，在一个完整网马解密实例中的http://970957.com/aa/all.css网址，它是不是最终的网马呢，我们通过freshow的check获得这个网址的源代码内容为：



我们看到这是一个eval加密，说明它并不是最终我们解密出的网马，还需要根据进一步的解密后才能解出最终网马下载地址。

加分顶起

为师傅加油！！！

前排继续听讲:kaka12:

该用户帖子内容已被屏蔽

原来又是这个楼主啊，真好

厉害``````````

新来的,学习了

原来CSS也有这种玩法:kaka12:

高手

该用户帖子内容已被屏蔽

学习了
谢谢老师

继续来听课！谢谢讲评和分析！

:default69: 厉害

有长见识了:kaka12:

:kaka12: :kaka12: :kaka12: :kaka12: :kaka12: :kaka12: :kaka12: :kaka12: :kaka12: