注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
反黑知识
» 轻轻松松解密各种网页木马
返回列表
发帖
吉普2020
发短消息
加为好友
吉普2020
当前离线
UID
656
帖子
15
精华
0
积分
22
威望
28
金钱
28
阅读权限
10
在线时间
0 小时
注册时间
2008-7-16
最后登录
2008-9-30
3.A.S.T士兵
帖子
15
积分
22
威望
28
金钱
28
在线时间
0 小时
1
楼
跳转到
»
发表于 2008-7-18 17:38
|
显示全部帖子
下面我们再来看一种加密方式
这个是申通快递被挂马的时候抓到的,后来无意中得知这个加密方式用到的是JS混淆,
http://www.cha88.cn/safe/JSencode.php
这个网站有这个加密方式,但是没有解密方式。怎么办?简单!
大家一起看看最后这段代码:
t=utf8to16(xxtea_decrypt(base64decode(t), '\x64\x63\x75\x6d\x65\x6e\x74'));//对t数组进行提取、重组、解密处理
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] (t);//输出加密后的t的内容
是不是有什么感觉?觉得像什么?
我们把\x64\x6f\x63\x75\x6d\x65\x6e\x74和\x77\x72\x69\x74\x65分别用我们刚才的alert的办法解密出来,他们分别对应的是document和write,也就是说最后这2行的意思就是对t数组进行提取、重组、解密处理并输出最后正确的结果。知道这个我们就很容易理解了,所有网马到最后为了输出让浏览器识别,都要进行最后的解密输出。通常就是document.write和eval里的内容了。那么我们用刚才的document.getElementById('textfield').value=t;替换掉window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] (t);并再页面顶端的<body>下面加入如下代码:
<form id="form1" name="form1" method="post" action="">
<label>
<textarea name="textfield" cols="100" rows="50"></textarea>
</label>
</form>
再次运行网马。即可得到第一层解密的结果:
这还不是我们要的最终结果。还记得上面讲过的?遇到eval就替换为alert:
生活中若没有朋友,就像生活中没有阳光一样。
TOP
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
@@@ 加入本站会员 一个月月赚1200+的秘密@@@