网页挂马分析专家MDecoder v0.67

麦田的怪

MDecoder是一款自动化的网页挂马分析检测工具。MDecoder可对网页进行自动化的解密与分析，探测是否被挂马，所挂网页木马利用何种漏洞，并可一键生成专业的挂马分析日志。

主要功能：

• 自动化的网页挂马分析与检测
• 强大的自动与手动解密功能
• 不断完善的网页木马检测
• 生成网页挂马检测日志
  

下载地址：
http://mtian.net/down/MDecoder.zip
http://log.mtian.net/MDecoder.zip

0.62-0.67更新：
1、解决几个小BUG。
2、提高检出率。

0.60-0.61更新：
1、对自动解密的流程做了较大的调整，增强了获取网页木马要下载木马地址的能力。
2、新图标。谢谢林卯的美化。

0.56更新：
1、优化体验，解决部分界面卡的问题

0.55更新：
1、增加对Dadong’s JSXX的解密。
2、右键增加插入菜单，用户可手动插入URL。
3、Log按钮点击后增加提示。

0.54更新：
1、base62(eval(function(p,a,c,k,e 那种)改用算法解密。
2、解决去除CSS误报中一个小BUG。
3、界面上的链接改用默认浏览器打开。

0.53更新：

1、解决误报CSS为EXE的问题。
2、解决几个小问题。

0.52更新：
1、修正几个小BUG，优化用户体验。
2、提高对流行网页木马利用漏洞的识别率。


0.50更新：
1，新增网马利用漏洞识别。Scan完毕后会自动分析页面，识别出利用漏洞的链接图标将变为exp，exp下级的exe链接图标更改为vx。将鼠标移动到标注为exp链接上面将出现利用漏洞的名称提示，日志中自动添加利用漏洞名。这毕竟是我业余时间搞的一个小东东，虽然几乎用掉了最近一段日子的所有的业余时间，但是还可能有不少识别不到的情况，请将无法识别的网马打包发给我（请加密码virus来绕过邮箱杀毒），我将尽量添加，邮箱地址:adian410@yahoo.com.cn。
2，新增对flash的一种过滤方式。
3，右侧分析页面新增【？】按钮，为网马利用漏洞识别功能。需要注意的事该功能是基于整个网马来识别的，所以对于利用js标签分拆的不完全页面来说或许会出现无法识别的状况。




Log generated by mtian use mdecoder 0.50
[root]http://aeu.bij.pl/44/av.htm
    [exp]http://aeu.bij.pl/44/mp.htm(Exploit.Mpeg2.b)
        [script]http://aeu.bij.pl/44/ll0.jpg
        [script]http://aeu.bij.pl/44/ll1.jpg
        [script]http://aeu.bij.pl/44/upp.jpg
            [virus]http://aex.bij.pl/l/nl.exe
        [script]http://aeu.bij.pl/44/llll1.jpg
        [script]http://aeu.bij.pl/44/llll.jpg
        [script]http://aeu.bij.pl/44/lllll.jpg
    [iframe]http://aeu.bij.pl/44/nod.htm
        [exp]http://aeu.bij.pl/44/lz.htm(Exploit.GLWorldHanGamePluginCn18.a)
            [script]http://aeu.bij.pl/44/oopk.jpg
                [virus]http://aex.bij.pl/l/nl.exe
            [script]http://aeu.bij.pl/44/ll1.jpg
            [script]http://aeu.bij.pl/44/lz.jpg
    [iframe]http://aeu.bij.pl/44/real.htm
        [exp]http://aeu.bij.pl/44/myra.htm(Exploit.RealPlayerIerpplug.b)
            [script]http://aeu.bij.pl/44/myr.jpg
                [virus]http://aex.bij.pl/l/nl.exe
    [iframe]http://aeu.bij.pl/44/rising.htm
        [exp]http://aeu.bij.pl/44/ofnt.htm(Exploit.OfficeSpreadsheet.a)
            [script]http://aeu.bij.pl/44/oopk.jpg
            [script]http://aeu.bij.pl/44/uug.jpg

闲扯：
1，这个网马利用漏洞识别是基于解密后的页面来做的，有时候因为识别的需求来调整解密函数，调整了解密后也需要对应的修改漏洞识别函数，绕啊绕，囧了。
2，到后来网马利用漏洞识别的特征添加几乎是个体力活了，以后有空再慢慢搞吧，这个小东东已经费我不少时间，该学习了。
3，费劲心血的MDScan.dll加了个Themida的壳，可能会被一些敏感的杀软报毒，请自行判断后决定是否使用。

ryota

为什么要加TMD呢，难道有什么秘密

中邪

支持一下，虚拟机里试用~

kangxi

LZ那俩地址实在是。。。国外的吧？还是被GF（和谐）W层层过滤那种？

两M多的小玩意下了半个多小时愣没下完，还有一个不能断点续传、、、、 能不能提供个纳米盘或rayfile或大米盘的

鲁鲁修

回复 4# kangxi

纳米盘下载地址分流：http://d.namipan.com/d/MDecoder. ... 3e5a7479e4538bf2000

麦田的怪

回一楼，就是怕自己辛苦提的特征被别人扒走，其实加壳的加也不严重。
回四楼，两个地址，一个是dreamhost的，一个是GAE的，速度应该还可以的啊。
感谢五楼，呵呵。

越来越智能了。。。

铩雨骑士

感谢楼主

ray1106

已经更新了，希望mdecoder越来越强大

ray1106

还有win7老是会停止工作