1   1  /  1  页   跳转

关于css如何解密

关于css如何解密



引用:
在我们前期讲解网马解密教程中,有很多解密出网马下载地址,类似于:http://cao360.vu.cx/bb.css,有的网友会产生疑问,这个css如何来进行解密。实际上这个bb.css就是最终的网马,我们通过地址直接将其下载,在这里大家可能还会有疑问,css不是html语言中的层叠样式表嘛,是个文本文档,怎么会是网马病毒呢。下面就从几个方面来讲解这个问题。


     

引用:
在网页制作中css(层叠样式表:定义一些网站的字体、标题等的大小、颜色、宽度、高度等),在网吗解密获取的源代码中我们也可以看到一般在网站头部有对定义好的css引用,见下图:






用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑networkedition 最后编辑于 2009-05-25 14:41:24
分享到:
gototop
 

回复: 关于css如何解密

我们先来看一个正常的css内容会是什么,详见下图:




上图为一个正常的css内容,我们可以简单看一下都是对一些表格、链接的颜色等等的定义
gototop
 

回复:关于css如何解密

大家可能会问,在这里会不会挂马呢,答案是毋庸置疑的,在我们实际分析一些被挂马网站中,在css也会被插入一些恶意的链接地址。但这类方式不是很常见。接下来我们在看一下解密出来,被认为是网马的css。看一下它的内容会是什么呢。就以http://cao360.vu.cx/bb.css这个为例,按这个地址将其下载,详见截图:



上图为下载bb.css内容,我们看到有很多的乱码,红色框一串英文内容是我们可以读懂的,大致意思是这个程序无法在dos模式下运行,ok,我们知道windows的pe程序是无法在dos模式运行的,从这点我们可以简单判断一下这个css可能是一个可执行程序。
最后编辑networkedition 最后编辑于 2009-05-25 15:00:54
gototop
 

回复:关于css如何解密

既然这个bb.css我们初步判断是个可执行程序,那么我们将其扩展名修改为exe,再使用peid这个工具来进一步分析一下,这个bb.css是否为一个可执行程序呢。





我们看到这个exe实际上是个upx壳。
本帖被评分 1 次
最后编辑networkedition 最后编辑于 2009-05-25 15:17:11
gototop
 

回复:关于css如何解密

实际上通过上述两个方面的验证,这个bb.css就是一个可执行程序,将其扩展名修改为exe后即可运行。有感兴趣的网友可以在虚拟机里跑一下,看一个这个网马具体行为。当然,玩病毒很牛的大牛可以在实机运行 ,在这里不建议对手动处理的病毒不是很精通网友下载运行,而导致中招,带来不必要的麻烦。
最后编辑networkedition 最后编辑于 2009-05-25 15:29:13
gototop
 

回复: 关于css如何解密

我们再来看一下,在一个完整网马解密实例中的http://970957.com/aa/all.css网址,它是不是最终的网马呢,我们通过freshow的check获得这个网址的源代码内容为:



我们看到这是一个eval加密,说明它并不是最终我们解密出的网马,还需要根据进一步的解密后才能解出最终网马下载地址。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT