123456   1  /  6  页   跳转

一个完整的解密实录

收藏
本主题由 大版主 networkedition 于 2013-8-26 10:28:54 执行 主题置顶/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 11:19 | 只看楼主 短消息 资料
字号: 1楼

一个完整的解密实录



引用:

  经过这些天对网马解密的讲解,相信大家对网页挂马有了初步的了解,对网页解密也有了一定得认知,今天想通过一个具体的实例来讲解,如何通过freshow来分析一个网站是否被挂马,如被挂马怎样来分析具体所挂网马的地址(即解密)。前期我们都是通过代码的分析,将一些常见的网马加密手法,对应得解密方法提供给大家。这些都是一些掌握解密的基础,只有通过基础的学习,才能更好的理解并掌握后期整个网马解密的分析,希望大家在看本期讲解教程前,最好能够已经完整并学习了初级、中级、高级教程。对于理解并掌握本期教程有很大帮助




引用:
解密前准备工作:要分析的网址:http://www.biaozhi.com.cn/english/show/index.asp
                              工具:freshow、在线解密工具


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 11:22 | 只看楼主 短消息 资料
字号: 2楼

回复:一个完整的解密实录

首先我们将要分析的网址复制粘贴至freshow的url,check链接一下这个网站获取网站源代码,见下图


 
最后编辑networkedition 最后编辑于 2009-05-22 11:27:17
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 11:22 | 只看楼主 短消息 资料
字号: 3楼

回复:一个完整的解密实录

在获取网站源码后,我们先来简单分析一下这个网站的源代码,这也是网马解密优先需要做的,因为有些被挂的恶意网址链接会在网站的头部、中间、及末尾,先要大体对所要分析网站源代码有所了解。这也是网马解密时需要养成的习惯。

  好了,来看看我们要分析的网站源代码,我将网站源码中异常部分截图,见下图:




最后编辑networkedition 最后编辑于 2009-05-22 11:39:14
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 11:26 | 只看楼主 短消息 资料
字号: 4楼

回复:一个完整的解密实录

上述红框中很多的js脚本很可疑,我们在网马解密初级篇中有介绍到js脚本挂马的方式。好接下来使用filter将script过滤出来。



filter过滤出的script,类型type为wide实际就是分析的网站地址。实际上这个网站被挂了6处,其中两处是一样链接,剩余4处链接地址是一样的。我们只要解出一个即可,其余都一样。
最后编辑networkedition 最后编辑于 2009-05-22 12:39:52
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 11:26 | 只看楼主 短消息 资料
字号: 5楼

回复:一个完整的解密实录

好我们将依次来分析由freshow过滤出的script,我们d点击数据收集区的wide下的第一个script:http://%33%38%7A%75%2E%63%6E,这个网址会自动在url区中,方便下一步的分析。





点击check来获取网站的源代码。
最后编辑networkedition 最后编辑于 2009-05-22 12:45:49
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 11:40 | 只看楼主 短消息 资料
字号: 6楼

回复:一个完整的解密实录



点击check后我们看到static状态为dns failed说明此链接已失效。
第二个script和第一个一样就不用再分析,直接看第三个js。
最后编辑networkedition 最后编辑于 2009-05-22 12:50:09
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 12:51 | 只看楼主 短消息 资料
字号: 7楼

回复:一个完整的解密实录

如法炮制选中http://%61%2E%6C%69%61%6F%62%61%6D%6D%2E%63%6F%6D/js.js,点击check来获取网站源代码。


最后编辑networkedition 最后编辑于 2009-05-22 12:55:25
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 12:51 | 只看楼主 短消息 资料
字号: 8楼

回复:一个完整的解密实录

上图源代码中有个frame,而这个frame链接(src)到一个http://www.hbhfz.com/jo/360.htm网址,在frame前还有一个document.write函数,还记得我们前期讲解的document.write的特征嘛,Document.write函数是将字符串转换为Html代码,里面必须有HTML脚本标签,脚本才可以执行,否则,将会被当作字符串输出在网页上。实际上当我们访问http://www.biaozhi.com.cn/english/show/index.asp这个网站后会直接访问http://www.hbhfz.com/jo/360.htm网址,好接下来我们点击filter过滤出这个frame,再来进一步的分析这个frame。



最后编辑networkedition 最后编辑于 2009-05-22 13:10:55
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 12:51 | 只看楼主 短消息 资料
字号: 9楼

回复:一个完整的解密实录

在这里我们需要先将网址简单处理一下,http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm,将http://www.biaozhi.com.cn/english/show/部分删除,在将http:\/\/www.hbhfz.com\/jo\/360.htm中的“\”删除,教大家一个小技巧,先将要处理的地址粘贴至上操作区域,直接点击decode按钮,这样就可以过滤掉反斜杠。


最后编辑networkedition 最后编辑于 2009-05-22 13:21:12
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-05-22 13:33 | 只看楼主 短消息 资料
字号: 10楼

回复: 一个完整的解密实录

我们将处理好的网址粘贴至url处,点击check获取网站源代码。
红色框内容为36.htm网站内嵌一个frame。

如法炮制filter将其过滤出来。在这里我们一定要注意一定要点中数据收集区的http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm,再filter这样会自动将x.htm显示在http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm下面。


本帖被评分 1 次
最后编辑networkedition 最后编辑于 2009-05-22 13:38:13
gototop
 
<<上一主题|下一主题>>
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT