123   2  /  3  页   跳转

一个完整的解密实录

回复: 一个完整的解密实录



上图为x.htm网址的源代码,我们看到有很多的frame,点击filter将frame过滤出。


gototop
 

回复: 一个完整的解密实录

上图红色框中的就是从x.htm中通过filter过滤出的1个script和8个frame。接下来我们将依次进行分析。



上图为all.css源代码,是个eval加密,我们直接用在线解密工具进行解密即可。
最后编辑networkedition 最后编辑于 2009-05-22 13:50:08
gototop
 

回复: 一个完整的解密实录





gototop
 

回复: 一个完整的解密实录

我们将通过在线解密出的eval代码,粘贴至freshow上操作区域。通过filter过滤出3.htm和4.htm。




接下来分析3.htm这个地址。



上图为3.htm源代码
gototop
 

回复: 一个完整的解密实录

我们将3.htm源码复制粘贴至记事本上,3.htm的源代码内容很多且乱,小技巧:当我们遇到一个不知如何解密的网马时,先尝试在源码中搜索eval或document.write这两个函数,下图为在3.htm中搜索到document.write函数。



接下来就好办了,将document.write替换为alert函数,将代码保存为扩展名为htm,文件名任意的文件。

最后编辑networkedition 最后编辑于 2009-05-22 14:15:16
gototop
 

回复: 一个完整的解密实录






我们将替换好的源代码保存为test.htlm,双击运行打开,上两幅截图是浏览网页的内容,我们看到3.htm实际上暗含了一个script:3.css,通过ctrl+a及ctrl+c将代码复制粘贴至freshow的上操作区域。
gototop
 

回复: 一个完整的解密实录



上图为将3.css复制至上操作区域,通过filter过滤出3.css




上述截图为3.css的源码,这个代码很熟悉,在document.write教程篇中,我们见过类似代码,实际上这是一个alpha2加密。
gototop
 

回复: 一个完整的解密实录



在这里加密选项先选择alpha2进行一次decode后,点击up按钮一次解密出的结果上翻至上操作区域。


将解密选项选择为esc,进行二次解密,在下操作区域中,红色框为解密出网马地址。
gototop
 

回复: 一个完整的解密实录



我们将解密出网马地址复制粘贴至obj区,点击insert按钮将其插入到数据收集区,至此其中一个恶意网址分析告一段落。补充:当所有恶意网址分析完毕后,点击all按钮选择所有,点击log按钮格式化输出分析结果,直接在论坛发帖,可以和别人分享你的解密结果

Log is generated by FreShow.
[wide]http://www.biaozhi.com.cn/english/show/index.asp
    [script]http://%33%38%7A%75%2E%63%6E
    [script]http://%33%38%7A%75%2E%63%6E
    [script]http://%61%2E%6C%69%61%6F%62%61%6D%6D%2E%63%6F%6D/js.js
    [frame]http://www.biaozhi.com.cn/english/show/http:\/\/www.hbhfz.com\/jo\/360.htm
        [frame]http://www.hbhfz.com/jo/x.htm
            [script]http://www.hbhfz.com/jo/all.css
                [frame]http://www.hbhfz.com/jo/3.htm
                    [script]http://www.hbhfz.com/jo/3.css
                        [object]http://cao360.vu.cx/bb.css
这个不是完整的结果,期待你分析的最终结果哟!!!
本帖被评分 1 次
最后编辑networkedition 最后编辑于 2009-05-22 14:57:54
gototop
 

回复: 一个完整的解密实录

好了,接下来的几个恶意网址,解密方法都一样,感兴趣的网友可以参考本教程,来完成后续的解密,这也是给大家练习的机会。网马解密贵在实战,只有亲身参与了解密的过程,才能真正的掌握所学内容。

gototop
 
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT