Malzilla简单应用

显示全部楼层 · 发表于 2013-1-8 15:58:02

本帖最后由 salooloo 于 2013-1-8 16:18 编辑

上网时，遇到了挂马网站，对于网马的解密，用到了Malzilla这款工具，解密分为以下几步：
1.在Download标签栏的URL地址栏中输入挂马网址http://www.xxx.cn/images/2009/log.htm，然后点击“Get”，网页的源码便会在下方的文本框中显示出来，如图1所示。源码中除了几个可疑的Src地址外，没有发现其他异常的代码。
图1.jpg

2.获取Src地址。选择图1中的“Send To LinksParser”按钮，在“Links Parser”标签栏中会看到过滤出的Src地址，如图2所示，其中后3个是统计流量的地址，所以只需留意前4个网址。
图2.jpg

3.按照第1步，依次查看4个地址的源码发现，“show.jpg”和“shows.jpg”只是起到了产生clsid等善后工作，网马的地址就藏在“cqqtemp.css”和“cqqskin.css”文件中。“cqqtemp.css”文件的源码如图3所示
图3.jpg

，定义了“vmware_exe="\x25"+"\x75"”，“\x25”和“\x75”为16进制加密形式，选中加密的部分粘贴到“Misc Decoders”栏，点击右键，并依次选择“Run Script”-“Decode Hex”,在弹出的对话框中填入“\x”（如图4、5）

图5.jpg

,进行16进制转化后结果为“vmware_exe="%u"”；“cqqskin.css”文件的源码如图6、7所示，

图6.jpg

代码定义了“taskmgr_exe”和“Msdos_exe”两个变量，然后用“unescape”函数对两个变量进行解密处理。将代码保存到本地，通过修改代码来输出“taskmgr_exe”和“Msdos_exe”这两个变量：在头部对“vmware_exe”进行定义，即插入代码“vmware_exe="%u"”，将图7代码“svchost_exe=unescape(taskmgr_exe)”和“svchosts_exe=unescape(Msdos_exe)中的“unescape”修改为“Document.write”(Javascript语言中输出语句)，最后在文本的头尾分别加上脚本标签“<script language="Javascript">”和“</script>”,保存为Htm文件运行，结果如图8所示。
图8.jpg

4.我们复制%u那一串字符到Malzilla中的“Misc Decoders”栏，点击“UCS2 To Hex”先转化成16进制(图9)，
图9.jpg

然后将这段16进制字符以“Paste as Hex”的形式粘贴到顶部右边“Hex”栏，得出下载地址（图10）。

图10.jpg

显示全部楼层 · 发表于 2013-1-8 21:52:13

应该很老了吧。。。

显示全部楼层 · 发表于 2013-1-9 10:42:43

卤煮上哪里找来的文物

显示全部楼层 · 发表于 2013-1-9 12:01:24

本帖最后由 sanhu35 于 2013-1-9 12:03 编辑

有汉化版，英文版看着难受啊

英汉双版
http://pan.baidu.com/share/link?shareid=187427&uk=3875861407

显示全部楼层 · 发表于 2013-1-10 15:17:44

这个看来是老教程？……本来还想加分的，感谢分享！

[转载] Malzilla简单应用

评分