回复:瑞星卡卡2010暑假实习第六课问题统计整理
瑞星卡卡2010暑假实习第六课问题统计整理
整理:沉很 坏坏1、问: 在网马解密实际的训练中,发现很多网马都不会解密,对于我们没见过的网马要怎么处理?
答: 不会解密多看教程呀,教程涵盖了大多数的国内目前网马解密的方法。可以多看看恶意网站交流区的教程。遇到不会解密的在这个区发帖或恶意网址交流区发帖提问都行2、问: 还有就是CSS那种,怎么知道那个是网马呢?
答: 正常的css是网页制作中的层叠样式表文件,如何来判断是网马,可以直接查看其源代码,下图就为一个css网马,实际上就是exe程序,将css修改为exe后即可运行。3、问: 中了网马一般会释放到系统哪些目录呢?能具体的说一下吗?
答: 如果中招了可以根据日志来分析呀,刚好来练手。4、问: 还有就是猜解密匙方面,主要是靠经验吗?老师能不能分享一些经验?一些网站有自动解密的程序,这个又是怎么实现的呢?
答: 关于密钥问题基本就是靠经验来分析,翻来覆去的就是那几个密钥:bd、c2等等吧,观察shellcode里面那个已知的密钥多,基本上就是那个。自动解密程序是内置了相应的算法吧,但不是所有的shellcode都可以通过自动解密解出,工具不是万能的。5、问: 网马之间的区别。我认为其他网马都有可能是大小写数字混排的,怎么区分它是BASE64的?比如alpha2不也是乱七八糟的,如没看到TYTIIIIIIIIIIIII我觉得很像BASE64。是不是主要判断最后有没有=?但是不是也可能没有啊?有没有判断的先后顺序?
答: 教程中将各种加密方法的特征都写的很清楚,可以直接对照着来看,符合相应的特征了,那么自然也就知道使用的是什么加密了。教程中总结出来的特征一般情况下都是符合相应的加密特征。例:以TYTIIIIIIIIIIIII开头的代码肯定就是alpha2加密了,而如果在代码后面有形如==之类的就是base64加密,简单记忆总结出常见网马加密的特征。对于使用哪种解密方法还是很有用处的。6、问: 还是关于网马之间的区别。下面这个是“document.write解密CSS源代码”hell9="b4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZVOdoSQTnsSPdQt5a6NRC2OPmfOpmTn1srSt3OpWp";这个也并没有TYTIIIIIIIIIIIII啊?怎么判断出是alpha2?
答: 这个是alpha2加密的一个特例,找RHptd4,他后面就是URL地址(即网马地址)。7、问: 解winwebmail,时为什么密匙是1233,代码部分,不是document.write(unencode(webmm,3422)),不是应该是3422?还有我把winwebmail又和document.write有点混了,不都是在document.write函数里吗?document.write函数里面有(unencode(webmm,就是winwebmail?不是就是document.write?如果winwebmail用document.write方式解,即把document.write变为alert,怎么只出个<SCR=这样子如果真是病毒的话是不是就已经中招了?
答: 这是有两种解密方法,第一可以使用freshow的winwebmail来直接进行解密,解密时需要手动添加密钥。密钥应为:3422。第二,可以使用document.write替换为alert方法来进行解密,当遇到一个不会解密网马时,首先可以查找代码中是否有eval或document.write这个两个函数,这样解密起来就容易了。alert方法会出现代码截断现象,如果代码太长,建议使用redoce的documen.write清除来进行解密。8、问: 用FREshow解网马有危险吗?比如把自认为解好代码放到HTML文件里,但实际没有解出来,会不会就中病毒了?
答: 使用freshow工具解密时没有危险,我都解密了成千上万了,系统也没有中毒。至于代码放到html文件里,记住一定要替换相应的函数,否则有可能会将网马触发执行。9、问: Winwebmail解密源代码,我一开始处理为66708666536666966654"//666636665666652667366665366? ? (剩下省略)我解出来的就是一大堆乱七八糟的东西,仔细看您的讲义,发现删除了"// ,请问"//是什么?
答: 干扰字符吧,有些网马就是这样里面有很多无用的字符,将其替换为空即可。10、问: FREshow不能解base64吗?我看它里面也有个base64。
答: 是的,这是软件的bug。1.5版本后就在没有更新过这个软件。11、问: 是不是网马基本就这几种?会不会一段代码中用多种加密方式啊?
答: 国内常见的基本上都列出来了,一段代码中有多种加密方式这个是有可能的。具体问题具体分析。12、问: 使用FreShow测试网站,当在URL栏输入网址后,点Check,结果状态显示【DNS Faild】或【Error ID:400】,不知是怎么回事?
答: 出现dns faild或errorid:400等,都是指网址失效了,dnsfaild是指dns解析失败。网站状态专门有个对应表吧。可以百度一下找找。13、问: 在分析一个网站过程中遇到一个网址如:http://*****1.exe,则可判断是网马,那除了.exe后缀外,还有哪种文件后缀可能是网马?
答: 多种形式文件的扩展名都可能是网马,例如:css、txt、mdb等等吧。14、问: 请问如果网马解密中遇到加密的代码,如何得到解密的密钥呢?
答: 1)可以通过猜解的方法得到密钥,这个需要解密的经验。
2) 直接使用OD工具进行调试shellcode,得出密钥。
3)使用shellcode自动解密工具(此方法不推荐使用)。
4)freshow的enumxor有自动枚举密钥的功能,一般常见的带密钥的shellcode都可以枚举出。15、问: 在winwebmail解密中,为什么要把《"//》去掉呢?
答: 干扰字符,有些网马里有很多类似干扰字符,主要用来迷惑或遮人耳目。16、问: 老师,这些解密工具似乎对Base64解码的支持并不好(比如说FreShow只能解出一个b的字符,而malzilla也只能解出一行出来),这是为什么呢?
答: freshow工具有bug吧,无法解密base64加密。工具不是万能的呀17、问: 如果网马解出来的是一个CSS或js文件,是不是要追踪这些代码才能找到源头呢?还有,网马的源头一般是什么文件(exe或com)?
答: 对于解密出来的网马css或js可以直接下载后查看源代码来判断是否为最终的网马(即病毒样本),如何判断可参看本帖2楼的截图。18、问: 我记得以前网页的扩展名是html,而现在保存的网页都是htm格式的,而且也没有那个存储图片等数据的文件夹了,这是什么原因啊?
答: 这个是正常的吧,也是html和htm的区别所在。要看你保存为什么扩展名了。19、问:怎么看一个挂马网页利用的什么漏洞答:可以通过clsid来进行判断,还有就是网页的地址的命名,如:14.htm或014.htm这里都是指利 用的ms06-014这个漏洞。20、问:在document.write篇中说到:《将document.write函数替换为alert,再加上脚本代码,将其代码保存为htm格式》<1> 打开htm最后显示好几个通知有什么用呢,也没有显示网马地址啊?<script src = .css</script>>是什么意思呢?<2>这里的加上脚本代码是不是跟前面Eval加密一样也是 加<script>呢?我看截图里没有这句。答:有些网马解密不是一下就可以解密出来的,需要耐心的一点一点的去解。3.css是你解密过程中的一部分吧,这里面应该还有东东。建议耐心仔细的完整看一下整体解密的过程。21、问:在alpha2实例中提到把无用的代码给删掉,怎么看出来哪些是无用的呢?不删会怎么样呢?解密有时会不成功么?答:无用的代码实际上就是一些无效字符,如:双引号呀,反斜杠等等。去除这些干扰码,可以使代码看起来清晰,有 利于分析代码。
沉很 最后编辑于 2010-07-15 21:55:31
