网马解密大讲堂——网马解密中级篇(Document.write篇) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流网马解密大讲堂——网马解密中级篇(Document.write篇)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

网马解密大讲堂——网马解密中级篇(Document.write篇)

本主题由版主 networkedition 于 2009-8-5 9:55:46 执行主题置顶/取消操作

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 09:21 \| 显示全部短消息资料字号：小中大 1楼网马解密大讲堂——网马解密中级篇(Document.write篇) 卡卡讲堂之网马解密初级篇卡卡讲堂之网马解密中级篇卡卡讲堂之网马解密高级篇(swf网马解密) 卡卡讲堂之网马解密高级篇(pdf网马解密) 1.Freshow解密工具的详细用法； 2.网马解密之——Eval篇； 3.网马解密之——Document.write篇； 4.网马解密之——Alpha2篇； 5.网马解密之——Shellcode篇； 6.网马解密之——Base64篇； 7.网马解密之——US-ASCII篇； 8.浅谈eval解密之——工具篇引用: 一.Document.write 函数简介：在Microsoft JScript 提供了两种方式来在浏览器中直接显示数据。可以使用write( ) 和 writeln( )，这两个函数是document 对象的方法。也可以在浏览器中以表格的方式显示信息，以及用警告、提示和确认消息框来显示信息。使用document.write( ) 和 document.writeln( )显示信息最常用的方式是 document 对象的 write( ) 方法。该方法用一个字符串作为其参数，并在浏览器中显示。该字符串可以是普通文本或 HTML。字符串可以用单引号或双引号引起来。这样可以引用那些包含引号或撇号的内容。注：Document.write函数是将字符串转换为Html代码，里面必须有HTML脚本标签，脚本才可以执行，否则，将会被当作字符串输出在网页上。引用: 二.Document.write函数实例例1： [复制到剪贴板] CODE: <script> document.write("hell world") </script> 将此段代码粘贴至记事本，保存为htm格式直接运行打开。这段代码的执行结果实际上是将hell world 在网页显示出来。用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) networkedition 最后编辑于 2009-05-21 14:45:04
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 09:22 \| 显示全部短消息资料字号：小中大 2楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 例2： [复制到剪贴板] CODE: <script> document.write("<iframe src=http://www.rising.com.cn></iframe>") </script> 引用: 将上面的代码粘贴至记事本，保存为htm直接运行打开，这段代码的执行结果为在联网的情况下，直接会在网页上显示一个框架，而框架的内容为瑞星官方网站。引用: 我们来简单分析一下这两个例子的执行结果为什么不同：例1实际上是一个简单的输出，就是将document.write函数后的内容输出至页面。例2内容包含了html脚本标签：<iframe>、 src、</iframe> ，此时将会直接执行脚本，而执行的结果为在网页上显示一个框架，而框架的内容为瑞星官方网站。例1和例2实际上是对“Document.write函数是将字符串转换为Html代码，里面必须有HTML脚本标签，脚本才可以执行，否则，将会被当作字符串输出在网页上”。这段话的一个印证。 networkedition 最后编辑于 2009-05-18 09:44:13
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 09:22 \| 显示全部短消息资料字号：小中大 3楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 引用: Document.write解密方法之alert方法，即在获得的包含有document.write函数的网马代码中，将document.wirte替换为alert函数，将代码保存至记事本，扩展名为htm文件，直接浏览运行。引用: 下面我们将结合一个实例来进行讲解： [复制到剪贴板] CODE: http://www.photoman.net.cn/feng/3.htm 将上述网址恶意链接地址粘贴至freshow工具url处，我们点击check进行链接，获取网站源代码，详细操作请看下面截图： Document.write.jpg (575.30 K) 2009-5-18 9:58:51 networkedition 最后编辑于 2009-05-18 09:58:51
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 09:22 \| 显示全部短消息资料字号：小中大 4楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 引用: 我们看到在获得源代码中红色框标出的为document.write，接下来我们点击freshow的p按钮将代码复制，将此段代码保存至记事本，使用记事本的查找功能，查找内容为“document.write”，将document.write替换为alert，将修改好的代码保存为扩展名为htm格式文件，直接运行打开保存好的网页。部分.jpg (587.65 K) 2009-5-18 10:10:02 networkedition 最后编辑于 2009-05-18 10:10:02
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 09:44 \| 显示全部短消息资料字号：小中大 5楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) ie提示.jpg (819.05 K) 2009-5-18 10:27:39 我们在浏览刚才保存的htm文件过程中，会有上述截图的提示，鼠标右键点中这个提示，选择允许阻止的内容，在弹出的安全警告对话框，点击是继续运行。点击两次确定后会看到如下内容： alert弹框结果.jpg (91.75 K) 2009-5-18 10:27:39 networkedition 最后编辑于 2009-05-18 10:27:39
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 10:08 \| 显示全部短消息资料字号：小中大 6楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 引用: 在这个加密的源代码中，实际上隐含了这么一段代码： [复制到剪贴板] CODE: <script src=3.css></script> ，将此代码粘贴至freshow上操作区域，点击filter按钮，我们将会在数据收集区域看到两个网址。相见下面截图： 3.css.jpg (1112.64 K) 2009-5-18 10:34:33 networkedition 最后编辑于 2009-05-18 10:34:33
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 10:28 \| 显示全部短消息资料字号：小中大 7楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 接下来我们点击数据收集区域的http://www.photoman.net.cn/feng/3.css，进行check链接获取网页源代码。 shell9.jpg (966.60 K) 2009-5-18 10:45:26 实际我们解密的这个恶意网址是根据realplayer漏洞，而RealPlayer采用的加密形式为alpha2，这段代码实际上是一个alpha2加密的特例，后续我们会详细讲解alpha2解密方法。 networkedition 最后编辑于 2009-05-18 10:46:36
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 10:35 \| 显示全部短消息资料字号：小中大 8楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 这里的解密选项自然选择alpha2，点击decode进行解密，相见下列截图： alpha2.jpg (757.68 K) 2009-5-18 10:54:36 接下来点击up按钮，将第一次解密的结果上翻至上操作区域进行二次解密，解密选项选择esc，再点击decode完成最终的解密，获得网马下载地址。 networkedition 最后编辑于 2009-05-18 10:56:42
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 10:47 \| 显示全部短消息资料字号：小中大 9楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 网马.jpg (769.11 K) 2009-5-18 11:00:31 红色框内容为实际的网马下载地址。 networkedition 最后编辑于 2009-05-18 11:00:31
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-18 10:48 \| 显示全部短消息资料字号：小中大 10楼回复：网马解密大讲堂——网马解密中级篇(Document.write篇) 接下来我们可以将网马地址复制粘贴至obj区，点击insert按钮，将解密出的网马地址插入数据收集区。 1.jpg (765.68 K) 2009-5-18 11:06:21 本帖被评分 1 次本帖被评分 1 次 networkedition 最后编辑于 2009-05-18 11:06:21
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT