学用脚本解密利器,揪出网页木马

在上一期的文章中，我们讲了如何解密加密的网页木马，其中用到了一些巧妙的Javascript语句。但用手工替换语句的方法

>> 学用脚本解密利器，揪出网页木马 揪出网站中的网页木马 快速揪出相似网页 网页木马全揭秘 网页木马骑不得 批量揪出你要的网页链接 查看进程路径揪出病毒和木马等 mvista任务管理器揪出木马路径等 网页木马的攻击与防范 网页木马机理与防范对策 网页木马的防御与检测技术 网页木马机理与防御方法研究 未知链接做安检，远离网页木马 检测网页安全　远离病毒木马 网页木马与跨域漏洞 解密木马帝国“灰鸽子” 警惕隐藏在RM／RMVB中的网页木马 看我网页木马七十二变 你能躲过17个网页木马围攻吗？ 网页木马与杀毒软件的较量 常见问题解答 当前所在位置：”的网页木马文件。

用记事本打开生成的“Works.htm”网页木马，可以看到这是一个更为让人头疼的加密方式。也正是由于这种加密方式的隐藏性，才能让黑手刃生成的木马。躲过全球36款杀毒软件的查杀!将生成的网页木马上传到进行检测，发现36款全球最强的杀毒软件，居然只有两款检测出网页是经过加密的，并且没有提示为木马，而其它的杀毒软件则全部认为该网页木马是正常安全的。

36款杀毒软件都无法识别出这个网页木马，看来也只有靠人自己检测网页的安全性才是最可靠的。碰到这类加密网页。只有自已解密后，才能确定网页中是否有木马。

逆序代码

查看加密源码。可以发现，从“>Imth/daehImthImth/

运行一个叫作Freeshow的工具，将从“>Imth/daehImth

shellcode的解密

由于网页是给过多段加密的。所以也只能分段解密。复制逆序过的代码，将其粘贴到原代码文件中，替换掉原来未解密的代码段。要注意的是，在此过程中。千万不要将其它的代码给误删除或替换了。此时，可以看到大部份代码都是明文了，只有在两个“unescape()”函数中有形如“"％u"+"OcOc"+"％u"+"OcOc"”之类的加密代码。其实这是一段sheltcode溢出加密代码，要解密此段代码，需要用特殊的工具和步骤。

首先。需要清除代码中的+号和半角双引号：复制une scape()中的所有代码。将上方的输入框清空，粘贴入代码后，设置解密功能为“Connect”，点击“Filter”按钮，即可在下方显示去掉了连接符的代码。

复制下方输入框中的所有代码，下载一个名为“MonyerJS.html”的解密工具。用IE浏览打开此解密网页工具，将代码粘贴入其中。然后点击右侧的“Shellcode解密”按钮。即可看到解密的Shellcode代码了。代码前部有许多乱码，不用管它。只需看最后的一个链接形式的代码。例如这里为“.cn/binghexijian/test.exe”，这就是网页木马程序的链接地址了。可将其下载后进一步分析；即可揪出攻击者的来源和地址。甚至进行反攻击!

在这篇文章中，我们只是简单的利用了一下Freeshow和MonyerJS中的几个解密功能。其实这两个工具是非常强大的，里面有许多解密功能，值得大家细细琢磨!