以下教程内容主要来源于网络,有的是Freshow自带的内容,可能有人会看得比较眼熟。Freshow和MDecoder都是网站挂马(或叫网页挂马)的分析工具,由于MDecoder基本上模仿了Freshow,当然MDecoder已经发展到分析和解密自动化了,可以看成Freshow的自动和智能化版本,已经不需要专门的教程来解释如何使用解密网页木马,但参考一下Freshow的教程,会对MDecoder更了解些,如果你想知道MDecoder的界面上东东是什么的话。先来看下Freshow的界面(如下图):
上边:
Check:用来获取要解密网址的源代码
State:连接状态,可通过连接状态来判断网址是否失效。
(1)N/A 未知(还未检查)
(2)Connected 已连接(成功的加载)
(3)Timeout 超时
(4)Not found 该页不存在
(5)Error ID: XXX 是指定的XX错误。(如404为WebPage Not Found,即上面的 Not founnd;401为试图访问一个需要密码验证的页面)
输入URL后,需要单击Check!,FreShow会自动检查页面状态,如果成功,会立即载入。
中间(操作区):
C:清除代码,用来清除处理框和结果框
P:是复制代码
Filter:过滤网页源代码中的js、iframe、script链接
Decoder:解密按钮,用来解密加密的网页源代码
1、过滤选项:
Qeye:过滤网页源代码中潜在的恶意链接,如:iframe、script结果会显示在收集区域;FreShow会自动区分相对与绝对地址,该操作将清空结果框中的内容。
Connect:连接字符串,如‘a+b’,使其变为ab;
Nuls:过滤空字符串,清除无效的脚本区域,使得脚本更容易阅读;
Replace:替换字符串;可以将脚本中的指定内容替换。Replace需要两个参数,第一个参数为由替换,第二个参数为替换目的文本。
Reverse:逆转字符(将文本倒序排列),一些特殊的脚本采用这种方式。
2、解密选项:
Esc:解密类似于\x,%u,%的文本,可以转换%、%u、\x等形式的转义字符,\x可以再操作异或,如果知道确切的值,就在附加区域
里输入它,或者使用枚举异或enumXOR,会自动处理并返回结果 ;
ASCII:可以将十六进制ASCII Hex文本转换为实际内容,可以转换“1,2,3”形式的ASC码,分割符可以覆盖;
US-ASCII :可以转换字符集为US-ASCII的网页为正常可读的代码,代码类似汉字,且代码中包含有: <meta?http-equiv="Content-Type"?c? />
Alpha2:转换Exploit中常用的ALPHA2加密,这个算法针对在Replayer的漏洞利用上,首先转换到\x形式,因为可能会经过异或操作;
enumXOR:用于异或代码,对十六进制的数据进行枚举异或,并返回结果;
Base64:用于解码Base64加密的文本,这种加密方式很少见,加密特征大小写字母及数字混排,末尾可能包含等号;
Winwebmail:用于解密Winwebmail的Exploit代码,网马加密代码中有类似:document.write(unencode(webmm,3422));代码(至今未见过此类加密方式,不确定)
右侧:
ALL:勾选所有收集区域的地址
Del:删除不需要的链接
Log:自动将选择项复制到剪切板并做一定的格式化处理,方便直接在论坛或其他地方与他人共享分析结果
Download:将选择的网马地址复制到剪切板,并下载相应的网马(例如:迅雷、flashget开启状态下,并设置了监视相应的文件类型,此时点击download按钮就会调出默认的下载工具下载网马。)
Obj:目标插入区域,将最终解密出来的网马地址,复制到obj区域,并按Insert插入,它将会被自动插入到之前选中的链接后,作为子级
Insert:插入网马链接地址
再来看下MDecoder的界面(如图):
MDecoder的界面和Freshow类似,只是位置不同,但只要在左上角的地址栏中输入要分析的网址,然后点击“Scan”就可以了,剩下的工作MDecoder会自动完成。
以下是我的一些废话:至于分析出来的结果(不论是MDecoder还是Freshow)是否真的是木马(主要是分离出的js和exe链接),还是需要我们做一些判断的(不是所有的可疑项都一定是木马),没分析出来的也不是说100%安全了,毕竟在这个网络时代没有100%安全的事。这些都只是辅助工具,让人们更方便工作,所以分析与解密结果仅供参考。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/714.html
