万能解密教程

taoyuan237

今天由我来讲解网马解密
第一讲
万能解密法
如图一

这个木马代码很乱看不出头绪
但是如何解密呢？
下面我用万能方法解密一下
其实万能的方法就是游览器执行
以下是常用
解密代码
<textarea id="textareaID" rows="50" cols="100"></textarea>
document.getElementById("textareaID").innerText=
alert
主要的就这3种，什么意思呢？我来讲解一下<textarea id="textareaID" rows="50" cols="100"></textarea>的意思大概就是画出一个框
如图二

document.getElementById("textareaID").innerText=   这个命令和刚才讲解的是配套的，大概意思是在上面这个名为textareaID的框中写入=号后的函数值。呆会会用到。
alert就是弹出代码，就不多介绍了
下面是实例
刚才的代码也看到了把。。很乱也没有什么特殊的加密，我想应该比较有代表性了。
在开始之前要先观察代码
注意语言标签，注意执行代码，注意函数过程
就这些注意事项了
EXECUTE
document.write
window.vbsexecute
eval
常见的就这几种了，主要靠观察或工具做标记
我这里用Redoce做标记
如图三

看到了document.write(w)这个的意思就是执行W这个函数。
其实知道这个就好办了。把他替换成上面的弹出代码或写入代码。。
如图四

替换后保存为HTM
这里用alert
效果如图五、六



这个页面没有病毒地址应该是隐藏在了1.js中所以不解了因为没有1.js
这里我又找到了一个同样的代码有地址的执行出来得到了SHELLCODE然后解密shellcode就是了

最后得到了http://a.wuc9.com/ab.css这个地址，至此解密结束

[ 本帖最后由 taoyuan237 于 2009-6-20 13:04 编辑 ]

qigang

路过。

cwjt

感觉还是用malzilla方便安全些，用ie解密万一病毒执行了就麻烦了

xiaoqiang305

建议高手们出些视频解密教程，最好是有声的~把认为比较难的或者经典的视频置顶

taoyuan237

原帖由 xiaoqiang305 于 2009-6-20 15:17 发表
建议高手们出些视频解密教程，最好是有声的~把认为比较难的或者经典的视频置顶

过于依赖视频不太好

咖啡反病毒

这个木马代码很乱看不出头绪
但是如何解密呢？
下面我用万能方法解密一下
其实万能的方法就是游览器执行

是浏览器不是

taoyuan237

原帖由 咖啡反病毒 于 2009-6-21 15:49 发表
这个木马代码很乱看不出头绪
但是如何解密呢？
下面我用万能方法解密一下
其实万能的方法就是游览器执行

是浏览器不是

那是什么？？另外此话并非原创，某位前人说的，不管怎么加密都是要给游览器解释的

llzy3575

最终还是要给浏览器后台解密的，不如以其人之道，还治其人之身
直接扔到IE去，解密掉

lichun005

这好像已经是很久很久....
卡饭某版主视频里有这些讲解的

knifed

所谓万能法...飘过......