查看: 5883|回复: 27
收起左侧

[其他相关] Unreal v2.05 [2-2 P1 更新 窗口大小可调,改变调用方式,高级语言支持]

[复制链接]
IllusionWing
发表于 2008-2-1 13:52:19 | 显示全部楼层 |阅读模式
升级只需下载UncryptHTML.rar,库文件不用下

v2.05
1、更改调用方式,将功能置入列表中,直接选择就可以执行了
2、优化过滤引擎,自动去除非法项目
3、设置可以保存...
4、窗口可调大小,小屏不发愁
5、高级语言支持,目前附带中英文语言包,会根据系统语言自动检测
展开说明:
中文语言包是内置在程序里的,英文语言包就是包裹下的Lang2.ini
如果你是中文系统,一点要用英文,请在程序目录下的Settings.ini(有则打开,无则新建),加入以下内容

  1. [Language]
  2. OverrideSettings=Lang2.ini
复制代码


6、Base64换用新算法,速度提高10%
7、阈值换成可以随便输入的编辑框,无大小限制
8、针对XP、2003、Vista进行了界面优化(不过在2K下可能就不好看了)
9、可以定义uRL具体的提示、忽略URL扩展名,同上的Settings.ini中
展开说明(有Global节就加在其中,没有就新建Global节):


  1. PromptURL=提醒的...
  2. IgroneURL=忽略...
复制代码


语法如下AAAA|BBBB|CCCC|...
其中的AAAA,BBBB,CCCC是文件末四位字符,全小写,比如gif图像就是.gif,JPG图像就是.jpg和jpeg(注意后面一种没有点),以|分割,最后一个加不加|无所谓
Unreal里头本是有内置的:提示=.exe|.cmd|.com|.bat|.cab|,忽略=.jpg|jpeg|.gif|.png|,这是用于自动分析的
话说完了..



v2.01
增加JScript.Encode解码


新版本....增加了编码转换和多任务同时处理(就是分页了),去掉了ForceEval,增加自动分析功能
还有PS一句,
UncryptHTML_库文件.part1.rar 和 UncryptHTML_库文件.part2.rar是分卷,只要解压缩一个
UncryptHTML.rar 是主程序..还要解压一次...这是为了方便更新,不要更新一次就重做一次包...也就是说要解压两次
瀑布汗吧..不罗嗦了

Unreal - Digital Fox
该文档适用于 v2.0
一、总览
    Unreal v2.0 顾名思义用于解密脚本。它支持提取地址以及诸多加密方式以分析网马,也可辅助练习脚本水平。您可以通过它减少体力劳动以及准备各种工具的空间和时间。这个项目纯属业余之作,有着许多不足,不吝指教。
功能列表:
跨站调用
Alpha2
US-ASCII
Base64
\x,%u,%
document.write(ln)
清除注释
字符串
去除 Eval
JS 自定义算法
Jscript 智能解密
Unescape
批量检查有效性
JScript 格式化
自动分析
UTF8 转 ANSI
UNICODE 转 ANSI
URL载入

二、界面介绍
    Unreal 2.0 分为四块,左上半边从上到下分别是处理框、结果框,右上边是结果处理,而下方则是各种过滤、解密以及操作模块。所有操作的操作结果均在结果框中。
三、功能介绍
1、结果框 -> 处理框
    该功能使结果框中的数据存储到处理框中以进行下一步操作。
2、过滤对象
    该功能可以分析出文档中的 EXE 文件,支持明文以及\x格式的提取,若一个 URI 地址后有一个引号的位置前于扩展名标志,程序将会返回引号前的内容,故该功能不一定返回完整的文件路径,也可能返回AJAX网页等信息。
3、Alpha2
   该功能又称 ExtremeXor ,是 Exploit.Real 中常用的一种加密方式。一般而言,若该 Javascript 是一个下载者,那么下载的病毒地址以明文呈现其中。
4、US-ASCII
   该功能用于解码 charset=US-ASCII 类的代码。这种代码无法被常规方法阅读,但是 Internet Explorer 在加载时会自动更改编码集,通常杀毒软件也无法进行解码。
5、Base64
   该功能直接用于 Base64 信息的加密,脚本可能利用 Base64 加密病毒地址,也可能利用此加密脚本本身。
6、\x,%u,%
   该功能可以解密由转义符 \x,编码定义符 %u, % 加密的内容。Java 中的 escape 会产生后两种形式。一般而言,后两种方式应优先采用 Unescape功能,然而,Unescape功能 并不是每次都奏效,这时就需要本功能。
7、document.write(ln)
   该功能可以过滤脚本的无效信息,还原成明文。
8、清除注释
   该功能可以清除以 // 或 ' 开头以及空的行,并去除语句前后空格。
9、字符串
   该功能可以解决 VBScript、Javascript 中的类似于 "Scr"+"ipti"+"ng"+".FileS"+"ystemO"+"bject" 不容易被分析的问题。使用本功能后,上面提到的范例将变为 "Scripting.FileSystemObject"。
10、去除 Eval
   该功能一般是智能解密的先决条件,它会移除脚本首的 eval。
11、JS 自定义算法
   该功能可以得到普通解密方式无法得到的信息,例如脚本中编写的解密函数。
12、Jscript 智能解密
   该功能可以解开 JSPack 以及 一般 Eval 加密的脚本,注意:一般而言去除 Eval 是本功能的先决条件,否则可能导致脚本无法被解密。
13、Unescape
   该功能调用 Javascript 内建的函数进行解密,类似于 \x,%u,% ,但不支持 \x,也不是每个时候都奏效。
14、从 URL 下载
   该功能会调用 URLDownloadToFileA 函数从制定的 URL 下载一个文件,并将内容填充到处理框中。
15、批量检查有效性
   该功能可以检查地址是否有效,结果框中会输出每个地址的成功与失败信息,而过滤框中仅将保存成功的项目。(本功能不具备检测文件结构,不能预防下载坏的文件或是下载了404页面。并且,本功能的检测原理是下载到本地,校验是否成功,请勿用本功能检测大文件。)
16、JScript 格式化
   该功能以格式化 Javascript 方便阅读
17、UTF8 转 ANSI 及 UNICODE 转 ANSI
   该功能可以转换 UTF8 或 UNICODE 编码的网页,本程序默认只能显示 ANSI 编码的文本。
18、自动分析
   该功能可以提取 URL 框中的内容并逐级分析,最多分析的网页由右上角的阈值控制条选定,默认为 10,最大为 100。
四、提供数据的格式
   本部分介绍了部分项目应填充在处理框的文本类型,没有介绍的项目是不需要填充或直接填充任何形式的脚本。本段中所陈述的“脚本”,均不包含 HTML 标记。
1、Alpha2
   处理框中只应有需要解码的 Shellcode 。例如:TYIIIIIISDCC...
2、Base64
   处理框中只应有需要解码的 Base64 文本。
3、\x,%u,%
   处理框中只应有需要解码的文本。
4、去除 Eval
   处理框中只应有以 eval( 开头, ) 结尾的脚本。
5、JS 自定义算法
   处理框中应是需要执行的代码,而结果框中应填入函数名称,结果将回送结果框。(只支持 Javascript)
   例如:
   处理框中:
   function getThisDecode() {return escape(shellcode);}
   结果框中:getThisDecode
   处理框中可以有任何符合 Java 语法规范的脚本,但不可以有外部对象。结果框中只应有函数名称。
6、Jscript 智能解密
   处理框中只应有 去除 Eval 处理过的脚本。
7、Unescape
   处理框中只应有需要解码的文本。
8、从 URL 下载
   处理框中应是需要打开的 URL 地址。(只能有一个)
9、批量检查有效性
   处理框中应是以换行符分割的一个或多个 URL 地址。
五、分页工具介绍
   Unreal v2.0 新增了分页解密的工程,方便在多个项目间迂回。+ 按钮用于新增一个空页,- 按钮用于删除当前页,C 按钮用于复制当前页,文件名将会被标上 XXX - 副本。本工具的 URL 访问功能被移植,您需要在每页最上方的编辑框中输入 URL,并单击“载入”。
六、TODO
1、支持冗余检查
2、VBScript 的更高级解密功能
3、自动解密解析后的文档
4、。。。等你发现
七、版权声明及责任限定
   本软件符合 GPL 规范,最初作者为 Digital Fox (gankeyu@126.com),原始发行地为 卡饭论坛 (http://bbs.kafan.cn)。作者享有对软件传播的知情权。
八、联系我
   你可以用 QQ (344827311), MSN (gankeyu@hotmail.com), E-Mail (gankeyu@126.com) 联系我,也望提出宝贵意见。用的愉快!

[ 本帖最后由 gankeyu 于 2008-2-2 14:07 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jimmyleo
发表于 2008-2-1 14:06:07 | 显示全部楼层
阿米沙发
spaceplane
发表于 2008-2-1 14:06:56 | 显示全部楼层
非常感谢
zzh161
发表于 2008-2-1 14:09:02 | 显示全部楼层
都是高手挖
jimmyleo
发表于 2008-2-1 14:11:23 | 显示全部楼层
响应可雨 放出谍照一张

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
IllusionWing
 楼主| 发表于 2008-2-1 14:14:33 | 显示全部楼层

回复 5楼 jimmyleo 的帖子

..挑战越来越大恶劣...
不习惯用MFC..

[ 本帖最后由 gankeyu 于 2008-2-1 14:16 编辑 ]
wangjay1980
发表于 2008-2-1 14:25:32 | 显示全部楼层
好详细啊
jimmyleo
发表于 2008-2-1 14:28:00 | 显示全部楼层
可雨的自动分析就能用到杀毒的经验了 呵呵
不过自动分析存在的问题还是蛮多的
例如调用自身的那个函数 解密几次 等等...
暂时的想法 还是做个分析工具 嘿嘿 关键也是经验不够的说...
冷冷
发表于 2008-2-1 14:29:07 | 显示全部楼层
很好很强大!!!
Stand By!!
dikex
发表于 2008-2-1 15:31:42 | 显示全部楼层
JScript.Encode
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-6-17 22:45 , Processed in 0.133386 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表