搜索
查看: 5134|回复: 14
收起左侧

[原创] 万能解密教程

[复制链接]
taoyuan237
发表于 2009-6-20 12:54:34 | 显示全部楼层 |阅读模式
今天由我来讲解网马解密
第一讲
万能解密法
如图一
1~1.jpg
这个木马代码很乱看不出头绪
但是如何解密呢?
下面我用万能方法解密一下
其实万能的方法就是游览器执行
以下是常用
解密代码
<textarea id="textareaID" rows="50" cols="100"></textarea>
document.getElementById("textareaID").innerText=
alert
主要的就这3种,什么意思呢?我来讲解一下<textarea id="textareaID" rows="50" cols="100"></textarea>的意思大概就是画出一个框
如图二
2~1.jpg
document.getElementById("textareaID").innerText=   这个命令和刚才讲解的是配套的,大概意思是在上面这个名为textareaID的框中写入=号后的函数值。呆会会用到。
alert就是弹出代码,就不多介绍了
下面是实例
刚才的代码也看到了把。。很乱也没有什么特殊的加密,我想应该比较有代表性了。
在开始之前要先观察代码
注意语言标签,注意执行代码,注意函数过程
就这些注意事项了
EXECUTE
document.write
window.vbsexecute
eval
常见的就这几种了,主要靠观察或工具做标记
我这里用Redoce做标记
如图三
3~1.jpg
看到了document.write(w)这个的意思就是执行W这个函数。
其实知道这个就好办了。把他替换成上面的弹出代码或写入代码。。
如图四
4~1.jpg
替换后保存为HTM
这里用alert
效果如图五、六
5~1.jpg

6~1.jpg
这个页面没有病毒地址应该是隐藏在了1.js中所以不解了因为没有1.js
这里我又找到了一个同样的代码有地址的执行出来得到了SHELLCODE然后解密shellcode就是了
7~1.jpg 8~1.jpg
最后得到了http://a.wuc9.com/ab.css这个地址,至此解密结束

[ 本帖最后由 taoyuan237 于 2009-6-20 13:04 编辑 ]

评分

参与人数 3人气 +3 收起 理由
hj5abc + 1
granthill + 1
gtyre1 + 1 加分鼓励。

查看全部评分

qigang
发表于 2009-6-20 14:05:32 | 显示全部楼层
路过。
cwjt
发表于 2009-6-20 14:09:37 | 显示全部楼层
感觉还是用malzilla方便安全些,用ie解密万一病毒执行了就麻烦了
xiaoqiang305
发表于 2009-6-20 15:17:53 | 显示全部楼层
建议高手们出些视频解密教程,最好是有声的~把认为比较难的或者经典的视频置顶
taoyuan237
 楼主| 发表于 2009-6-20 15:21:01 | 显示全部楼层
原帖由 xiaoqiang305 于 2009-6-20 15:17 发表
建议高手们出些视频解密教程,最好是有声的~把认为比较难的或者经典的视频置顶

过于依赖视频不太好
咖啡反病毒
发表于 2009-6-21 15:49:34 | 显示全部楼层
这个木马代码很乱看不出头绪
但是如何解密呢?
下面我用万能方法解密一下
其实万能的方法就是游览器执行

是浏览器不是
taoyuan237
 楼主| 发表于 2009-6-21 16:38:43 | 显示全部楼层
原帖由 咖啡反病毒 于 2009-6-21 15:49 发表
这个木马代码很乱看不出头绪
但是如何解密呢?
下面我用万能方法解密一下
其实万能的方法就是游览器执行

是浏览器不是

那是什么??另外此话并非原创,某位前人说的,不管怎么加密都是要给游览器解释的
llzy3575
发表于 2009-6-21 17:14:35 | 显示全部楼层

回复 7楼 taoyuan237 的帖子

最终还是要给浏览器后台解密的,不如以其人之道,还治其人之身
直接扔到IE去,解密掉
lichun005
发表于 2009-6-22 12:58:56 | 显示全部楼层
这好像已经是很久很久....
卡饭某版主视频里有这些讲解的
knifed
发表于 2009-6-22 13:49:26 | 显示全部楼层
所谓万能法...飘过......
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-5-18 19:35 , Processed in 0.134056 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表