关于css如何解密 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流关于css如何解密

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

关于css如何解密

本主题由版主 networkedition 于 2009-8-5 9:55:46 执行主题置顶/取消操作

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-25 14:40 \| 只看楼主短消息资料字号：小中大 1楼关于css如何解密引用: 在我们前期讲解网马解密教程中，有很多解密出网马下载地址，类似于:http://cao360.vu.cx/bb.css，有的网友会产生疑问，这个css如何来进行解密。实际上这个bb.css就是最终的网马，我们通过地址直接将其下载，在这里大家可能还会有疑问，css不是html语言中的层叠样式表嘛，是个文本文档，怎么会是网马病毒呢。下面就从几个方面来讲解这个问题。引用: 在网页制作中css(层叠样式表：定义一些网站的字体、标题等的大小、颜色、宽度、高度等)，在网吗解密获取的源代码中我们也可以看到一般在网站头部有对定义好的css引用，见下图： css.jpg (157.69 K) 2009-5-25 14:40:12 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) networkedition 最后编辑于 2009-05-25 14:41:24
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-25 14:47 \| 只看楼主短消息资料字号：小中大 2楼回复: 关于css如何解密我们先来看一个正常的css内容会是什么，详见下图： css内容.jpg (1166.77 K) 2009-5-25 14:47:06 上图为一个正常的css内容，我们可以简单看一下都是对一些表格、链接的颜色等等的定义
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-25 14:48 \| 只看楼主短消息资料字号：小中大 3楼回复：关于css如何解密大家可能会问，在这里会不会挂马呢，答案是毋庸置疑的，在我们实际分析一些被挂马网站中，在css也会被插入一些恶意的链接地址。但这类方式不是很常见。接下来我们在看一下解密出来，被认为是网马的css。看一下它的内容会是什么呢。就以http://cao360.vu.cx/bb.css这个为例，按这个地址将其下载，详见截图： bb.jpg (1340.06 K) 2009-5-25 15:00:54 上图为下载bb.css内容，我们看到有很多的乱码，红色框一串英文内容是我们可以读懂的，大致意思是这个程序无法在dos模式下运行，ok，我们知道windows的pe程序是无法在dos模式运行的，从这点我们可以简单判断一下这个css可能是一个可执行程序。 networkedition 最后编辑于 2009-05-25 15:00:54
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-25 15:02 \| 只看楼主短消息资料字号：小中大 4楼回复：关于css如何解密既然这个bb.css我们初步判断是个可执行程序，那么我们将其扩展名修改为exe，再使用peid这个工具来进一步分析一下，这个bb.css是否为一个可执行程序呢。 peid.jpg (342.94 K) 2009-5-25 15:17:11 我们看到这个exe实际上是个upx壳。本帖被评分 1 次本帖被评分 1 次 networkedition 最后编辑于 2009-05-25 15:17:11
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-25 15:22 \| 只看楼主短消息资料字号：小中大 5楼回复：关于css如何解密实际上通过上述两个方面的验证，这个bb.css就是一个可执行程序，将其扩展名修改为exe后即可运行。有感兴趣的网友可以在虚拟机里跑一下，看一个这个网马具体行为。当然，玩病毒很牛的大牛可以在实机运行，在这里不建议对手动处理的病毒不是很精通网友下载运行，而导致中招，带来不必要的麻烦。 networkedition 最后编辑于 2009-05-25 15:29:13
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-25 15:41 \| 只看楼主短消息资料字号：小中大 6楼回复: 关于css如何解密我们再来看一下，在一个完整网马解密实例中的http://970957.com/aa/all.css网址，它是不是最终的网马呢，我们通过freshow的check获得这个网址的源代码内容为： all.jpg (584.98 K) 2009-5-25 15:40:56 我们看到这是一个eval加密，说明它并不是最终我们解密出的网马，还需要根据进一步的解密后才能解出最终网马下载地址。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2009-05-27 22:37 \| 短消息资料字号：小中大 7楼回复：关于css如何解密加分顶起为师傅加油！！！
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

於陵闲云卡卡反病毒小组帖子:113 注册: 2007-11-28 来自:	发表于： 2009-05-28 11:36 \| 短消息资料字号：小中大 8楼回复：关于css如何解密前排继续听讲 0.电脑安防交流群：79272952 1.下载windows清理助手，升级后清理系统。地址：http://download.arswp.com/arswp3/x86/arswp3_x86.zip 2.下载SREng，地址：http://download.kztechs.com/files/sreng2.zip 3.解压后运行SREngLdr.exe---智能扫描---扫描---保存报告。 4.将SREng.log日志文件压缩后上传。。
於陵闲云卡卡反病毒小组帖子:113 注册: 2007-11-28 来自:

jieoo7 禁止访问帖子:27 注册: 2009-06-06 来自:	发表于： 2009-06-06 14:45 \| 短消息资料字号：小中大 9楼回复：关于css如何解密该用户帖子内容已被屏蔽
jieoo7 禁止访问帖子:27 注册: 2009-06-06 来自:

石卡儿初生襁褓狮帖子:60 注册: 2009-06-09 来自:	发表于： 2009-06-13 12:48 \| 短消息资料字号：小中大 10楼回复: 关于css如何解密原来又是这个楼主啊，真好
石卡儿初生襁褓狮帖子:60 注册: 2009-06-09 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT