网马解密大讲堂

网马解密大讲堂

form：瑞星卡卡技术社区
by: networkedition
======================
==================
Document.write
解密方法之alert方法：将网马代码中的document.write替换为alert。
eg.弹出对话框<script src=3.css></script>
   将此代码粘贴至freshow上操作区域，点击filter按钮，数据收集区3.css木马网址。
   点击3.css，进行check链接获取网页源代码。
   解密选项自然选择alpha2，点击decode进行解密
   点击UP按钮，将第一次解密的结果上翻至上操作区域进行第二次解密，解密选项选择esc，获得网马下载地址
   点击insert按钮，将解密出的网马地址插入数据收集区
   点击all按钮全选，再点击log按钮，将解密出日志格式化输出。

==================

Alpha2
该加密方式特征，代码开头:TYIIIIIIIIIIIIIIII
解密方法：一次Alpha2解密，一次esc解密

==================
shellcode
Shellcode网马特征：以相同分隔符（一般为%u）分隔的4位一组的十六进制字符串。
解密方法：
-对于直接使用%u来分隔的shellcode，通过两次esc可以直接解密出网马地址。
-对于通过类shellcode形式加密的网马，可以通过将代码进行适当处理（将代码替换为分隔符%u），再进行两次esc解密

==================
Base64

Base64加密原理：(摘自小聪大牛的博客)

  把每三个字符，共24位2进制的ASCII码，折分成连续4个6位的ASCII码，再在每个ASCII码前面补00变成8位， 最后对应一个码表来变成编码字符：

码表为（从0～63分别依次对应）：
0对应A………………………………………………………………………………63对应/
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
如果最后不够3位数，则补0，这时后面对应的编码是“=”
例：原文：                a                  b                c
　　ASCII码：    01100001 | 01100010 | 01100011
        分成4个：    011000 | 010110 | 001001 | 100011
        补足位数： 00011000 | 00010110 | 00001001 | 00100011
        数值大小：        24                22                9                  35
        对应编码：        Y                  W                J                  j
        编码结果：    YWJj

        如果只有ab两个字符，则第三个字符用全0来代替，这时结果为YWI=
        其实按照算法，=对应的编码其实也可以认为是为0，所以QQ==和QQAA用来解密的话，都是A，但是后面补0时用“=”是加密算法自己的设置，所以加密结果只能是QQ==而不会是QQAA
知道了加密原理，解密原理就反其道而行之就行了，呵呵……
-----------------
加密特征：

    大小写字母及数字混排，末尾可能包含等号
------------------
Base64解密方法：

    我们还是以一个实例来简单讲解base64解密方法，在实际的网马解密中，这种加密方式很少见。今天我们提供一种解密的方法，在这里用到的解密工具为：notepad++ 这个软件(附件为notepad++)。后续我们还会讲解使用一些其他的解密工具来解密base64。
 

======================
US-ASCII
加密特征：代码类似汉字，且代码中包含有<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" />
解密方法：使用freshow工具解密时，解密选项选择US-ASCII,直接一次decode即可

=====================
eval
解密方法：malzilla->Decode->Run script

=====================
swf

Flash网马简介：flash网马是利用Adobe Flash Player播放器严重安全漏洞， 攻击者可以通过精心设计的特殊SWF文件实施攻击。浏览这些特殊构造的SWF文件，会运行攻击者设定的任意代码。

Flash网马解密方法：今天我们主要来讲解如何利用(HTMLDecoder)工具，对flash网马进行解密。此工具由小祥大牛开发的一款自动网马解密工具，内附有flash网马解密功能，在这里宣传一下小祥大牛哈。工具下载见附件，本次讲解不提供具体的swf文件下载，防止一些网友不明，胡乱运行导致系统中毒。主要讲解对于flash网马如何解密的方法.

功能-执行：A>PDF/CWS/Zlib Extractor   

======================
PDF

pdf漏洞简介：PDF是由“Adobe Acrobat”制作的，它存在一个攻击漏洞——可以在PDF文档中，利用“Adobe Acrobat”提供的Javascript脚本功能，执行任意攻击命令。
解密方法：pdf网马和swf网马一样，解密工具都是可以使用htmldecoder工具，解密方法和网马解密高级篇(SWF解密)一样。今天讲解的这个pdf网马，可以直接使用freshow这个工具来解密，因为这个pdf包含的shellcode直接可以通过记事本看到。小技巧：对于pdf或swf格式的文件我们可以通过记事本的方式打开，直接查看文件的源代码，你会有惊奇的发现，尤其是网马解密，里面说不定就有你要的网马地址呢，呵呵。本次讲解同样不提供pdf文件的下载，以免不明网友，下载后运行而导致系统中招。

.pdf源文件中复制出来的shellcode代码--带密钥的shellcode--FreShow