在上一期的文章中，我們講了如何解密加密的網(wǎng)頁(yè)木馬，其中用到了一些巧妙的Javascript語(yǔ)句。但用手工替換語(yǔ)句的方法解密，對(duì)一些朋友來(lái)說(shuō)可能比較頭大，因此在本篇文章中，為大家介紹一些小巧易用的工具。輕松地解密各種加密過(guò)的網(wǎng)頁(yè)木馬，讓網(wǎng)頁(yè)木馬別想瞞過(guò)我們!

解密目標(biāo)

這次要解密的網(wǎng)頁(yè)木馬腳本，是用最新的“黑手刃2008免殺網(wǎng)馬生成器v5.8”生成的網(wǎng)頁(yè)木馬。最新的黑手刃添加了一個(gè)最近爆出的Windows系統(tǒng)的Works組件溢出漏洞。利用此漏洞生成的網(wǎng)頁(yè)木馬是完全免殺的，威力非常之大。

運(yùn)行黑手刃v5.8后。輸入要下載的木馬地址，勾選界面中的“Microsoft works Oday過(guò)最新補(bǔ)丁ie6 ie7通殺”項(xiàng)。并選擇生成的網(wǎng)頁(yè)木馬類型為“HTML”。然后點(diǎn)擊“點(diǎn)擊生成”按鈕。即可生成名為“Works.htm”的網(wǎng)頁(yè)木馬文件。

用記事本打開(kāi)生成的“Works.htm”網(wǎng)頁(yè)木馬，可以看到這是一個(gè)更為讓人頭疼的加密方式。也正是由于這種加密方式的隱藏性，才能讓黑手刃生成的木馬。躲過(guò)全球36款殺毒軟件的查殺!將生成的網(wǎng)頁(yè)木馬上傳到virscan.org進(jìn)行檢測(cè)，發(fā)現(xiàn)36款全球最強(qiáng)的殺毒軟件，居然只有兩款檢測(cè)出網(wǎng)頁(yè)是經(jīng)過(guò)加密的，并且沒(méi)有提示為木馬，而其它的殺毒軟件則全部認(rèn)為該網(wǎng)頁(yè)木馬是正常安全的。

36款殺毒軟件都無(wú)法識(shí)別出這個(gè)網(wǎng)頁(yè)木馬，看來(lái)也只有靠人自己檢測(cè)網(wǎng)頁(yè)的安全性才是最可靠的。碰到這類加密網(wǎng)頁(yè)。只有自已解密后，才能確定網(wǎng)頁(yè)中是否有木馬。

逆序代碼

查看加密源碼?？梢园l(fā)現(xiàn)，從“>Imth/<”開(kāi)始，一直到“>daeh<>Imth<”結(jié)束。這中間的代碼段全部是字符顛倒的，例如“>Imth/<”實(shí)際上就是“”的逆序字符串。因此解密的第一步是要將字符順序還原。

運(yùn)行一個(gè)叫作Freeshow的工具，將從“>Imth/<”到“>daeh<>Imth<”中間的所有代碼復(fù)制，粘貼到上面的輸入框中。在下方的轉(zhuǎn)換下拉列表中選擇“Reverse”，該功能是用于轉(zhuǎn)換字符對(duì)其進(jìn)行逆序的。然后點(diǎn)擊“Filter”按鈕。即可在下方看到被轉(zhuǎn)換過(guò)來(lái)的正常代碼段了。

shellcode的解密

由于網(wǎng)頁(yè)是給過(guò)多段加密的。所以也只能分段解密。復(fù)制逆序過(guò)的代碼，將其粘貼到原代碼文件中，替換掉原來(lái)未解密的代碼段。要注意的是，在此過(guò)程中。千萬(wàn)不要將其它的代碼給誤刪除或替換了。此時(shí)，可以看到大部份代碼都是明文了，只有在兩個(gè)“unescape()”函數(shù)中有形如“\"％u\"+\"OcOc\"+\"％u\"+\"OcOc\"”之類的加密代碼。其實(shí)這是一段sheltcode溢出加密代碼，要解密此段代碼，需要用特殊的工具和步驟。

首先。需要清除代碼中的+號(hào)和半角雙引號(hào)：復(fù)制une scape()中的所有代碼。將上方的輸入框清空，粘貼入代碼后，設(shè)置解密功能為“Connect”，點(diǎn)擊“Filter”按鈕，即可在下方顯示去掉了連接符的代碼。

復(fù)制下方輸入框中的所有代碼，下載一個(gè)名為“MonyerJS.html”的解密工具。用IE瀏覽打開(kāi)此解密網(wǎng)頁(yè)工具，將代碼粘貼入其中。然后點(diǎn)擊右側(cè)的“Shellcode解密”按鈕。即可看到解密的Shellcode代碼了。代碼前部有許多亂碼，不用管它。只需看最后的一個(gè)鏈接形式的代碼。例如這里為“http://blog.sina.com.cn/binghexijian/test.exe”，這就是網(wǎng)頁(yè)木馬程序的鏈接地址了?？蓪⑵湎螺d后進(jìn)一步分析；即可揪出攻擊者的來(lái)源和地址。甚至進(jìn)行反攻擊!

在這篇文章中，我們只是簡(jiǎn)單的利用了一下Freeshow和MonyerJS中的幾個(gè)解密功能。其實(shí)這兩個(gè)工具是非常強(qiáng)大的，里面有許多解密功能，值得大家細(xì)細(xì)琢磨!