网络安全防范方法之Malzilla的抓马方法

网络安全防范方法之Malzilla的抓马方法。无意中打开了一个挂马的网站，结果电脑不幸中了木马，我首先想到的就是拔掉网线，以防止木马再从网上下载别的木马和病毒。这个木马应该是做过了免杀处理，我电脑上安装的杀毒软件一点儿反应也没有，这该如何清理呢?干脆就直接抓取隐藏的网马样本，然后通过分析其动作来清除病毒吧。思路已经有了，我马上跑到同事的电脑上开工(我自己的那台电脑已经中了木马，自然是不能使用了)。

对于网马的解密，我使用到了Malzilia这个工具，解密的过程可以分为以下几步：

1、在“Download”标签栏下方的“URL”地址栏中输入那个被挂马的网址“http：//www.xxx.cn/images/2017/log.htm”，然后点击“Get”按钮，该脚页的源码便会在文本框中显示出来了，但在源码中除了几个可疑的Src地址外，没有发现其它异常的代码。

2、获取Src地址， 我们点击“Send to Links Parser”标签栏中就会看到过滤出的Src地址，齐总后面三个是统计流量的地址，所以我们只需要留意前面的那四个网址。

3、按照第1步的操作，依次查看这四个网址的源码，结果发现“show.jpg?www.2cto.com”和“shows.jpg?www.2cto.com”只是起到了产生clsid等善后工作，而网马的地址就藏在“cqqtemp.css”和“cqqskin.css”文件中。“cqqtemp.css”文件的源码定义了“vmware_exe="\x25"+"\x75"”，“\x25”和“\x75”为16进制加密形式，我们选中加密的部分并粘贴到“Misc Decoders”栏，点击右键，依次选择“Run Script”一“Decode Hex”，在弹出的对话框中填入“\x”，然后点击“OK”进行转换。

进行16进制转化后的结果为“vmware_exe="%U"”，这样一来“cqqskin.css”文件的源码就变成了代码中定义“taskmgr_exe”和“Msdos exe”两个变量，我们使用“unescape”函数对这两个变量进行解密处理，然后将代码保存到本地，通过修改代码来输出“taskmgr_ exe”和“Msdos_exe”这两个变量：在头部对“vmware_exe”进行定义，也就是插入代码“vmware_exe=”%u””，将代码“svchost_exe=unescape(taskmgr_exe)”和“svchosts_exe=unescape(Msdos_exe)”中的“unescape”修改为“Document.write”(语言中的输出语句)，最后在文本的头尾分别加上脚本标签“”和“”，最后保存为Htm文件并运行。

4、我们复制“%u”那一串字符到Malzilla中的“Misc Decoders”栏，点击“UCS2 To Hex”先转化成16进制，然后再将这段16进制字符以“Paste as Hex”的形式粘贴到顶部右边的“Hex”栏中，这样就得出了下载地址。

至此网马的地址就全部解密完成了，将网马下载到本地后我本想使用OD跟踪一下，但被朋友制止了，他告诉了我一个省时省力的在线分析网站，对样本进行提交后不一会儿分析结果就出来了。好家伙，动作可真多，映像劫持、新建服务、驱动，比对着分析结果把相应的文件及注册表值一一删除后，就把中毒的电脑给搞定了，这次的抓马行动相信大家们都看懂了吧!