MDecoder 更新至 V0.33

麦田的怪

下载地址：http://mtian.net/down/MDecoder.zip
              http://log.mtian.net/MDecoder.zip

0.33更新：
1、hookeval&doc.write分拆为hookeval和hookdocument.write两个解密方法。
2、对于涉及到JS引擎的方法添加了异常处理，避免崩溃，如base62、hookeval和hookdocument.write。
3、对于手动解密页面filter时的小BUG修正。
4、document.write解密方法的小调整（不过这个自己实现的方法似乎没有存在的必要了）。

0.30-0.32更新：
1、修正hookeval&document.write没走到流程的BUG。很囧的是0.30新增的hookeval&document.write根本没法用，因为我判断错了，没走到那个流程里去。更囧的是，似乎没有人发现，天啊，没人用么？
2、对useragent调整了下，原来根本没设置，因为发现有的网马在服务端判断了这个，所以现在从IE8发的包里抓来改了下用进去了。
3、解决死循环一个。
4、解决POST日志到log.mtian.net过程中中文丢失的问题。

V0.30更新：
         1，手工解密界面增加HOOK eval和document.write的功能（不完善）。

V0.28更新：
         1，增大解密文本输入和输出窗口对字符的容量
         2，增加日志分享的功能。选中后自动分享日志到：http://log.mtian.net/   (希望大家支持)

本次更新感谢是昔流芳的BUG反馈。谢谢大家对我的支持。


V0.27更新：
         1，修正document.write过程中的一个BUG。


V0.26更新：
         1，修正BASE62解密失效的问题。



V0.25更新：
         1，修正日志中有时未添加名称的BUG。

本次更新感谢mouse_0232、Baby无齿的BUG反馈和建议。谢谢大家对我的支持。


V0.24更新：
         1，修正过滤链接时拼接URL错误的BUG。

本次更新感谢likethisgame、小羽 、Baby无齿、 冰比冰水冰、liujiehua-猫猫的BUG反馈和建议。谢谢大家对我的支持。


V0.23更新：
         1，增加首次运行弹出配置窗口，可配置默认打开模式，是否忽略统计链接以及日志中显示的名字。
         2，增加命令行参数（命令行启动无视配置中的默认模式）。

                    -auto 打开自动界面
                    -manual 打开手动界面
                    -config 打开配置窗口

         3，修正BUG，提高稳定性。


V0.22更新：
         1，提高软件稳定性。
         2，AUTO解密中删除JS脚本中 /*  */的注释。
         3，修正HEX解密时XOR KEY错误的BUG。

V0.21更新：
         1，日志中exe标红色。
         2，解决AUTO模式中对输入URL修正时的一个BUG。
         3，解决列表框的两个BUG。全部删除时没删干净和删除后过滤乱掉的问题。
         4，解决过滤链接时过滤错误的一个BUG。

本次更新感谢likethisgame、250662772、一把绣剑的BUG反馈和建议。谢谢大家对我的支持。
===============================================================================


PS：本帖请无视安软官方的称号。这只是个人业余时间写的一个小东东。

懒惰了N久后，更新鸟，改用VC写，^_^，以下是更新说明：
         1，增强解密功能。增加对base62，htmlship，MSsrenc等的解密，不过一般应该不用关心这个，使用默认的AUTO就可以解密大部分网马了。
         2，增加自动模式。使用MDecoder.exe -auto来进入自动解密模式。输入命令似乎有点麻烦，不过我想不出在哪里添加界面了，建议经常使用这种模式的人添加一个快捷方式吧，里面带上参数。
         3，关于页面里增加检查更新的功能。最近老改，BUG和新想法层出不穷，指不定哪天就更新了，为了方便，增加了检查更新的功能。
        4，模仿Freshow增加了替换和翻转的选项，还有HEX解密时输入KEY。不过似乎一般不用输入KEY，AUTO解密的时候我会暴力查找KEY并解密。
        5，其他的零碎：wdomain.ini中有过滤链接时会去掉的域名，你可以在里面自己添加删减，每行一个域名就可以了。自动解密模式会自动丢弃重复的链接。

下载地址：http://mtian.net/down/MDecoder.zip

后续计划：
        这个只是我个人业余时间写的小东西，恩，还有许多打算做而没有做的事，比如AUTO模式中线程的限制，目前是有多少发多少线程的。还有配置文件啊，打算将解密的一些参数放配置文件里。解密功能还得继续增强，一些网马分多文件，需要要拼起来解密的，目前就是一个文件按一个文件看的，那个暴力提取shellcode只能暂时挡一挡需求。不过这种MDecoder的静态解密似乎不能从根本上解决问题，网马终究是给浏览器的HTML页面（呃，或者flash,pdf等），所以有空的话，研究下firefox和chrome的源码也是有必要的。呃，这些都是想法，想法而已，我并不承诺以后一定会做的。

感谢：
        感谢glacier_lk对我一如既往的支持。
        感谢SJF帮我改BUG，初学VC，总是有各种菜菜的问题，o(∩_∩)o…哈哈。
       感谢所有即将使用这个小东东的同学，你们才是我最终的动力（我靠，我真会说话挖）。

上截图：
base62解密（这种压缩算法的官方似乎就是这么命名的）：


htmlship解密（我瞎起的名）：


MSsrcenc解密（我瞎起的名，too）：


vbs_char解密（呃，名字同上）：


暴力提取shellcode解密，包含在自动解密中，如其名，很暴力，效率低，而且我不能保证他的准确性，但有些时候还需要他，哈哈：


最后是一张自动解密的图：


[ 本帖最后由 麦田的怪 于 2009-11-16 02:27 编辑 ]

IllusionWing

8错的工具，果然向智能化开始发展了，我也要努力了

IllusionWing

顺便试下那个地址

开始自动解析 - http://gangao.org.cn
L1 - http://%61%77%77%62%2E%33%33%32%32%2E%6F%72%67/%64%73%7A%71/%32.htm
L2 - http://wm.7udij.cn/x2/xx.html
L3 - http://wm.7udij.cn/x2/Td14.htm
L3 - http://wm.7udij.cn/x2/yt.htm
L3 - http://wm.7udij.cn/x2/td09.htm
L3 - http://wm.7udij.cn/x2/yut.htm
L4 - http://wm.7udij.cn/x2/17.js
L4 - http://wm.7udij.cn/x2/14.js
L4 - http://wm.7udij.cn/x2/15.js
L4 - http://wm.7udij.cn/x2/16.js
L4 - http://wm.7udij.cn/x2/a1.jpg
L4 - http://wm.7udij.cn/x2/b.jpg
L4 - http://wm.7udij.cn/x2/url.jpg
自动解析 - Auto XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L4 - http://wm.7udij.cn/x2/c.jpg
L4 - http://wm.7udij.cn/x2/d.jpg
L4 - http://wm.7udij.cn/x2/e.jpg
L4 - http://wm.7udij.cn/x2/f.jpg
L4 - http://wm.7udij.cn/x2/091.js
自动解析 - Auto XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L4 - http://wm.7udij.cn/x2/092.js
L4 - http://wm.7udij.cn/x2/ytfl.htm
L4 - http://wm.7udij.cn/x2/ytfl1.htm
L4 - http://wm.7udij.cn/x2/of.htm
关注 - http://d.cdwsx.com/xx/x2.css
L5 - http://wm.7udij.cn/x2/s1;o2.click}
L5 - http://wm.7udij.cn/x2/y1.htm
L5 - http://wm.7udij.cn/x2/t2.htm
L5 - http://wm.7udij.cn/x2/of.js
自动解析 - Auto XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L5 - http://wm.7udij.cn/x2/of1.jpg
L5 - http://wm.7udij.cn/x2/of.jpg
L5 - http://wm.7udij.cn/x2/of2.jpg
L6 - 正在解析 http://wm.7udij.cn/x2/./x1.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x3.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x4.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x2.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x5.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x7.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x9.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x10.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x8.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css
L6 - 正在解析 http://wm.7udij.cn/x2/./x11.swf
NATIVE AUTO XOR - 高度可疑 - http://d.cdwsx.com/xx/x2.css

输出的对象 - http://d.cdwsx.com/xx/x2.css

此分析日志由 Illusion Wing 使用 Astox v1 Build 1106 在 2009年9月5日1时35分29秒 生成。

麦田的怪

原帖由 IllusionWing 于 2009-9-5 01:35 发表
顺便试下那个地址

开始自动解析 - http://gangao.org.cn
L1 - http://%61%77%77%62%2E%33%33%32%32%2E%6F%72%67/%64%73%7A%71/%32.htm
L2 - http://wm.7udij.cn/x2/xx.html
L3 - http://wm.7udij.cn/x2 ...  

，大家都做的不错啊。

IllusionWing

下次把url识别关掉，先帮你改了

麦田的怪

，汗，没有注意到，谢谢啦。

IllusionWing

各取所长

asinasina

很好，我喜欢
特别是shellcode的
每次都觉得枯燥

824626242

收藏咯

dl123100

进来支持一下 无法学习 只能收藏