學(xué)用腳本解密利器，揪出網(wǎng)頁木馬

在上一期的文章中，我們講了如何解密加密的網(wǎng)頁木馬，其中用到了一些巧妙的Javascript語句。但用手工替換語句的方法解密，對一些朋友來說可能比較頭大，因此在本篇文章中，為大家介紹一些小巧易用的工具。輕松地解密各種加密過的網(wǎng)頁木馬，讓網(wǎng)頁木馬別想瞞過我們!

解密目標(biāo)

這次要解密的網(wǎng)頁木馬腳本，是用最新的“黑手刃2008免殺網(wǎng)馬生成器v5.8”生成的網(wǎng)頁木馬。最新的黑手刃添加了一個最近爆出的Windows系統(tǒng)的Works組件溢出漏洞。利用此漏洞生成的網(wǎng)頁木馬是完全免殺的，威力非常之大。

運(yùn)行黑手刃v5.8后。輸入要下載的木馬地址，勾選界面中的“Microsoft works Oday過最新補(bǔ)丁ie6 ie7通殺”項(xiàng)。并選擇生成的網(wǎng)頁木馬類型為“HTML”。然后點(diǎn)擊“點(diǎn)擊生成”按鈕。即可生成名為“Works.htm”的網(wǎng)頁木馬文件。

用記事本打開生成的“Works.htm”網(wǎng)頁木馬，可以看到這是一個更為讓人頭疼的加密方式。也正是由于這種加密方式的隱藏性，才能讓黑手刃生成的木馬。躲過全球36款殺毒軟件的查殺!將生成的網(wǎng)頁木馬上傳到virscan.org進(jìn)行檢測，發(fā)現(xiàn)36款全球最強(qiáng)的殺毒軟件，居然只有兩款檢測出網(wǎng)頁是經(jīng)過加密的，并且沒有提示為木馬，而其它的殺毒軟件則全部認(rèn)為該網(wǎng)頁木馬是正常安全的。

36款殺毒軟件都無法識別出這個網(wǎng)頁木馬，看來也只有靠人自己檢測網(wǎng)頁的安全性才是最可靠的。碰到這類加密網(wǎng)頁。只有自已解密后，才能確定網(wǎng)頁中是否有木馬。

逆序代碼

查看加密源碼?？梢园l(fā)現(xiàn)，從“>Imth/<”開始，一直到“>daeh<>Imth<”結(jié)束。這中間的代碼段全部是字符顛倒的，例如“>Imth/<”實(shí)際上就是“”的逆序字符串。因此解密的第一步是要將字符順序還原。

運(yùn)行一個叫作Freeshow的工具，將從“>Imth/<”到“>daeh<>Imth<”中間的所有代碼復(fù)制，粘貼到上面的輸入框中。在下方的轉(zhuǎn)換下拉列表中選擇“Reverse”，該功能是用于轉(zhuǎn)換字符對其進(jìn)行逆序的。然后點(diǎn)擊“Filter”按鈕。即可在下方看到被轉(zhuǎn)換過來的正常代碼段了。

shellcode的解密

由于網(wǎng)頁是給過多段加密的。所以也只能分段解密。復(fù)制逆序過的代碼，將其粘貼到原代碼文件中，替換掉原來未解密的代碼段。要注意的是，在此過程中。千萬不要將其它的代碼給誤刪除或替換了。此時，可以看到大部份代碼都是明文了，只有在兩個“unescape()”函數(shù)中有形如“\"％u\"+\"OcOc\"+\"％u\"+\"OcOc\"”之類的加密代碼。其實(shí)這是一段sheltcode溢出加密代碼，要解密此段代碼，需要用特殊的工具和步驟。

首先。需要清除代碼中的+號和半角雙引號：復(fù)制une scape()中的所有代碼。將上方的輸入框清空，粘貼入代碼后，設(shè)置解密功能為“Connect”，點(diǎn)擊“Filter”按鈕，即可在下方顯示去掉了連接符的代碼。

復(fù)制下方輸入框中的所有代碼，下載一個名為“MonyerJS.html”的解密工具。用IE瀏覽打開此解密網(wǎng)頁工具，將代碼粘貼入其中。然后點(diǎn)擊右側(cè)的“Shellcode解密”按鈕。即可看到解密的Shellcode代碼了。代碼前部有許多亂碼，不用管它。只需看最后的一個鏈接形式的代碼。例如這里為“http://blog.sina.com.cn/binghexijian/test.exe”，這就是網(wǎng)頁木馬程序的鏈接地址了?？蓪⑵湎螺d后進(jìn)一步分析；即可揪出攻擊者的來源和地址。甚至進(jìn)行反攻擊!

在這篇文章中，我們只是簡單的利用了一下Freeshow和MonyerJS中的幾個解密功能。其實(shí)這兩個工具是非常強(qiáng)大的，里面有許多解密功能，值得大家細(xì)細(xì)琢磨!