升级只需下载UncryptHTML.rar,库文件不用下
v2.05
1、更改调用方式,将功能置入列表中,直接选择就可以执行了
2、优化过滤引擎,自动去除非法项目
3、设置可以保存...
4、窗口可调大小,小屏不发愁
5、高级语言支持,目前附带中英文语言包,会根据系统语言自动检测
展开说明:
中文语言包是内置在程序里的,英文语言包就是包裹下的Lang2.ini
如果你是中文系统,一点要用英文,请在程序目录下的Settings.ini(有则打开,无则新建),加入以下内容
- [Language]
- OverrideSettings=Lang2.ini
6、Base64换用新算法,速度提高10%
7、阈值换成可以随便输入的编辑框,无大小限制
8、针对XP、2003、Vista进行了界面优化(不过在2K下可能就不好看了)
9、可以定义uRL具体的提示、忽略URL扩展名,同上的Settings.ini中
展开说明(有Global节就加在其中,没有就新建Global节):
-
- PromptURL=提醒的...
- IgroneURL=忽略...
语法如下AAAA|BBBB|CCCC|...
其中的AAAA,BBBB,CCCC是文件末四位字符,全小写,比如gif图像就是.gif,JPG图像就是.jpg和jpeg(注意后面一种没有点),以|分割,最后一个加不加|无所谓
Unreal里头本是有内置的:提示=.exe|.cmd|.com|.bat|.cab|,忽略=.jpg|jpeg|.gif|.png|,这是用于自动分析的
话说完了..
v2.01
增加JScript.Encode解码
新版本....增加了编码转换和多任务同时处理(就是分页了),去掉了ForceEval,增加自动分析功能
还有PS一句,
UncryptHTML_库文件.part1.rar 和 UncryptHTML_库文件.part2.rar是分卷,只要解压缩一个
UncryptHTML.rar 是主程序..还要解压一次...这是为了方便更新,不要更新一次就重做一次包...也就是说要解压两次
瀑布汗吧..不罗嗦了
Unreal - Digital Fox
该文档适用于 v2.0
一、总览
Unreal v2.0 顾名思义用于解密脚本。它支持提取地址以及诸多加密方式以分析网马,也可辅助练习脚本水平。您可以通过它减少体力劳动以及准备各种工具的空间和时间。这个项目纯属业余之作,有着许多不足,不吝指教。
功能列表:
跨站调用
Alpha2
US-ASCII
Base64
\x,%u,%
document.write(ln)
清除注释
字符串
去除 Eval
JS 自定义算法
Jscript 智能解密
Unescape
批量检查有效性
JScript 格式化
自动分析
UTF8 转 ANSI
UNICODE 转 ANSI
URL载入
二、界面介绍
Unreal 2.0 分为四块,左上半边从上到下分别是处理框、结果框,右上边是结果处理,而下方则是各种过滤、解密以及操作模块。所有操作的操作结果均在结果框中。
三、功能介绍
1、结果框 -> 处理框
该功能使结果框中的数据存储到处理框中以进行下一步操作。
2、过滤对象
该功能可以分析出文档中的 EXE 文件,支持明文以及\x格式的提取,若一个 URI 地址后有一个引号的位置前于扩展名标志,程序将会返回引号前的内容,故该功能不一定返回完整的文件路径,也可能返回AJAX网页等信息。
3、Alpha2
该功能又称 ExtremeXor ,是 Exploit.Real 中常用的一种加密方式。一般而言,若该 Javascript 是一个下载者,那么下载的病毒地址以明文呈现其中。
4、US-ASCII
该功能用于解码 charset=US-ASCII 类的代码。这种代码无法被常规方法阅读,但是 Internet Explorer 在加载时会自动更改编码集,通常杀毒软件也无法进行解码。
5、Base64
该功能直接用于 Base64 信息的加密,脚本可能利用 Base64 加密病毒地址,也可能利用此加密脚本本身。
6、\x,%u,%
该功能可以解密由转义符 \x,编码定义符 %u, % 加密的内容。Java 中的 escape 会产生后两种形式。一般而言,后两种方式应优先采用 Unescape功能,然而,Unescape功能 并不是每次都奏效,这时就需要本功能。
7、document.write(ln)
该功能可以过滤脚本的无效信息,还原成明文。
8、清除注释
该功能可以清除以 // 或 ' 开头以及空的行,并去除语句前后空格。
9、字符串
该功能可以解决 VBScript、Javascript 中的类似于 "Scr"+"ipti"+"ng"+".FileS"+"ystemO"+"bject" 不容易被分析的问题。使用本功能后,上面提到的范例将变为 "Scripting.FileSystemObject"。
10、去除 Eval
该功能一般是智能解密的先决条件,它会移除脚本首的 eval。
11、JS 自定义算法
该功能可以得到普通解密方式无法得到的信息,例如脚本中编写的解密函数。
12、Jscript 智能解密
该功能可以解开 JSPack 以及 一般 Eval 加密的脚本,注意:一般而言去除 Eval 是本功能的先决条件,否则可能导致脚本无法被解密。
13、Unescape
该功能调用 Javascript 内建的函数进行解密,类似于 \x,%u,% ,但不支持 \x,也不是每个时候都奏效。
14、从 URL 下载
该功能会调用 URLDownloadToFileA 函数从制定的 URL 下载一个文件,并将内容填充到处理框中。
15、批量检查有效性
该功能可以检查地址是否有效,结果框中会输出每个地址的成功与失败信息,而过滤框中仅将保存成功的项目。(本功能不具备检测文件结构,不能预防下载坏的文件或是下载了404页面。并且,本功能的检测原理是下载到本地,校验是否成功,请勿用本功能检测大文件。)
16、JScript 格式化
该功能以格式化 Javascript 方便阅读
17、UTF8 转 ANSI 及 UNICODE 转 ANSI
该功能可以转换 UTF8 或 UNICODE 编码的网页,本程序默认只能显示 ANSI 编码的文本。
18、自动分析
该功能可以提取 URL 框中的内容并逐级分析,最多分析的网页由右上角的阈值控制条选定,默认为 10,最大为 100。
四、提供数据的格式
本部分介绍了部分项目应填充在处理框的文本类型,没有介绍的项目是不需要填充或直接填充任何形式的脚本。本段中所陈述的“脚本”,均不包含 HTML 标记。
1、Alpha2
处理框中只应有需要解码的 Shellcode 。例如:TYIIIIIISDCC...
2、Base64
处理框中只应有需要解码的 Base64 文本。
3、\x,%u,%
处理框中只应有需要解码的文本。
4、去除 Eval
处理框中只应有以 eval( 开头, ) 结尾的脚本。
5、JS 自定义算法
处理框中应是需要执行的代码,而结果框中应填入函数名称,结果将回送结果框。(只支持 Javascript)
例如:
处理框中:
function getThisDecode() {return escape(shellcode);}
结果框中:getThisDecode
处理框中可以有任何符合 Java 语法规范的脚本,但不可以有外部对象。结果框中只应有函数名称。
6、Jscript 智能解密
处理框中只应有 去除 Eval 处理过的脚本。
7、Unescape
处理框中只应有需要解码的文本。
8、从 URL 下载
处理框中应是需要打开的 URL 地址。(只能有一个)
9、批量检查有效性
处理框中应是以换行符分割的一个或多个 URL 地址。
五、分页工具介绍
Unreal v2.0 新增了分页解密的工程,方便在多个项目间迂回。+ 按钮用于新增一个空页,- 按钮用于删除当前页,C 按钮用于复制当前页,文件名将会被标上 XXX - 副本。本工具的 URL 访问功能被移植,您需要在每页最上方的编辑框中输入 URL,并单击“载入”。
六、TODO
1、支持冗余检查
2、VBScript 的更高级解密功能
3、自动解密解析后的文档
4、。。。等你发现
七、版权声明及责任限定
本软件符合 GPL 规范,最初作者为 Digital Fox (gankeyu@126.com),原始发行地为 卡饭论坛 (http://bbs.kafan.cn)。作者享有对软件传播的知情权。
八、联系我
你可以用 QQ (344827311), MSN (gankeyu@hotmail.com), E-Mail (gankeyu@126.com) 联系我,也望提出宝贵意见。用的愉快!
[ 本帖最后由 gankeyu 于 2008-2-2 14:07 编辑 ] |
发表于 2008-2-1 13:52:19
发表于 2008-2-1 14:06:07
楼主
..挑战越来越大恶劣...
