在上一期的文章中,我們講了如何解密加密的網(wǎng)頁木馬,其中用到了一些巧妙的Javascript語句。但用手工替換語句的方法解密,對一些朋友來說可能比較頭大,因此在本篇文章中,為大家介紹一些小巧易用的工具。輕松地解密各種加密過的網(wǎng)頁木馬,讓網(wǎng)頁木馬別想瞞過我們!
解密目標(biāo)
這次要解密的網(wǎng)頁木馬腳本,是用最新的“黑手刃2008免殺網(wǎng)馬生成器v5.8”生成的網(wǎng)頁木馬。最新的黑手刃添加了一個最近爆出的Windows系統(tǒng)的Works組件溢出漏洞。利用此漏洞生成的網(wǎng)頁木馬是完全免殺的,威力非常之大。
運(yùn)行黑手刃v5.8后。輸入要下載的木馬地址,勾選界面中的“Microsoft works Oday過最新補(bǔ)丁ie6 ie7通殺”項(xiàng)。并選擇生成的網(wǎng)頁木馬類型為“HTML”。然后點(diǎn)擊“點(diǎn)擊生成”按鈕。即可生成名為“Works.htm”的網(wǎng)頁木馬文件。
用記事本打開生成的“Works.htm”網(wǎng)頁木馬,可以看到這是一個更為讓人頭疼的加密方式。也正是由于這種加密方式的隱藏性,才能讓黑手刃生成的木馬。躲過全球36款殺毒軟件的查殺!將生成的網(wǎng)頁木馬上傳到virscan.org進(jìn)行檢測,發(fā)現(xiàn)36款全球最強(qiáng)的殺毒軟件,居然只有兩款檢測出網(wǎng)頁是經(jīng)過加密的,并且沒有提示為木馬,而其它的殺毒軟件則全部認(rèn)為該網(wǎng)頁木馬是正常安全的。
36款殺毒軟件都無法識別出這個網(wǎng)頁木馬,看來也只有靠人自己檢測網(wǎng)頁的安全性才是最可靠的。碰到這類加密網(wǎng)頁。只有自已解密后,才能確定網(wǎng)頁中是否有木馬。
逆序代碼
查看加密源碼??梢园l(fā)現(xiàn),從“>Imth/<”開始,一直到“>daeh<>Imth<”結(jié)束。這中間的代碼段全部是字符顛倒的,例如“>Imth/<”實(shí)際上就是“”的逆序字符串。因此解密的第一步是要將字符順序還原。
運(yùn)行一個叫作Freeshow的工具,將從“>Imth/<”到“>daeh<>Imth<”中間的所有代碼復(fù)制,粘貼到上面的輸入框中。在下方的轉(zhuǎn)換下拉列表中選擇“Reverse”,該功能是用于轉(zhuǎn)換字符對其進(jìn)行逆序的。然后點(diǎn)擊“Filter”按鈕。即可在下方看到被轉(zhuǎn)換過來的正常代碼段了。
shellcode的解密
由于網(wǎng)頁是給過多段加密的。所以也只能分段解密。復(fù)制逆序過的代碼,將其粘貼到原代碼文件中,替換掉原來未解密的代碼段。要注意的是,在此過程中。千萬不要將其它的代碼給誤刪除或替換了。此時,可以看到大部份代碼都是明文了,只有在兩個“unescape()”函數(shù)中有形如“\"%u\"+\"OcOc\"+\"%u\"+\"OcOc\"”之類的加密代碼。其實(shí)這是一段sheltcode溢出加密代碼,要解密此段代碼,需要用特殊的工具和步驟。
首先。需要清除代碼中的+號和半角雙引號:復(fù)制une scape()中的所有代碼。將上方的輸入框清空,粘貼入代碼后,設(shè)置解密功能為“Connect”,點(diǎn)擊“Filter”按鈕,即可在下方顯示去掉了連接符的代碼。
復(fù)制下方輸入框中的所有代碼,下載一個名為“MonyerJS.html”的解密工具。用IE瀏覽打開此解密網(wǎng)頁工具,將代碼粘貼入其中。然后點(diǎn)擊右側(cè)的“Shellcode解密”按鈕。即可看到解密的Shellcode代碼了。代碼前部有許多亂碼,不用管它。只需看最后的一個鏈接形式的代碼。例如這里為“http://blog.sina.com.cn/binghexijian/test.exe”,這就是網(wǎng)頁木馬程序的鏈接地址了??蓪⑵湎螺d后進(jìn)一步分析;即可揪出攻擊者的來源和地址。甚至進(jìn)行反攻擊!
在這篇文章中,我們只是簡單的利用了一下Freeshow和MonyerJS中的幾個解密功能。其實(shí)這兩個工具是非常強(qiáng)大的,里面有許多解密功能,值得大家細(xì)細(xì)琢磨!