瑞星卡卡安全论坛

这个工具很好很强大，是小祥编写开发的，在这里宣传一下哈，这个工具经过多次更新目前很完善。集成有自动和手动解密功能，它的pdf和swf网马解密功能也是很强悍的，在我们前期swf和pdf网马解密教程中有应用到此工具。我们会陆续讲解此工具的用法。目前此工具版本为：redoce v1.9+66，该工具支持更新功能，可自行更新。



用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

我在这里先抛砖引玉吧，先来讲解一下它的解密功能，ok，先来看一下6>Eval()清除(Beta!)和D>Document.Write清除这两个功能。在我们前期讲解的教程中，当遇到eval和document.write这个两个加密，我们发现freshow并不能直接来进行解密，eval解密需要借助在线解密工具，而document.write需要替换为alert，这实际给我们在解密过程中，增加解密时间。而redoce工具集成直接对此两种加密方式的解密，非常容易上手。先来看一下eval这个在网马解密中最常见的加密形式。




点击go来获取网站源代码，这相当于freshow的check。

这个工具可以快速的定位，网马源代码中的eval和document.write，该功能在执行下的3>标出Eval位置和4>标出Documents.Write位置 ，我们选择其中一个点击开始按钮，如果要解密网页源代码中有eval或document.write，会将eval或document.write高亮显示，在实际网马解密中非常实用。

接下来我们选择解密选项的6>Eval()清除(Beta!)，点击开始按钮进行解密，详见下列截图：

哈哈，就这么轻松搞定。接下来再来看document.write，详见下列截图：

接下来选择解密选项的D>Document.Write清除，详见下列截图：

点击URL相当于freshow的filter，将2.css过滤出来，再次点击go获取2.css源代码，详见下列截图：

我们看到2.css有个shellcode，这里解密选项选择5>Unicode清除(%u,\u)(参数/无参数)，详见下列截图：

我们看到只需选择相应的解密选项，点击相应开始按钮，就轻松完成解密。在这里点击日志A按钮可以讲解密结果格式化输出，相当于freshow的log按钮。日志格式如下：



今天先讲解这么多，后续我们再讲解redoce其它功能。:kaka12:

见过其妙用了

那个url 还有src 还有ext 都有什么区别啊 还是比较习惯freshow:kaka12:

学习楼主的学习精神:kaka12:

SRC>功能解释：
此功能等于Freshow的Qeye Filter
会将Script和Iframe这类元素过滤出来
URL>功能解析：
会将页面中所有URL过滤出来
一般用于解密完成后，点一下地址会自动跑到日志区
EXT>将设置中的敏感类型网址过滤出来
一般用于SWF过滤

这个软件有没有下载地址

我搜到一个下载地址:kaka1:
http://www.chenoe.com/updatesrv/decoder.rar

这个工具本身就有自动更新的功能，现在最新是redoceV2.0+15这个版本

好像真的很好用诶

新手学习

谢谢分享，学习学习。