病毒档案之各种网页木马完全解密(4)

    这个是申通快递被挂马的时候抓到的，后来无意中得知这个加密方式用到的是JS混淆，http://www.cha88.cn/safe/JSencode.php这个网站有这个加密方式，但是没有解密方式。怎么办？简单！

    大家一起看看最后这段代码：

    t=utf8to16(xxtea_decrypt(base64decode(t), ’\x64\x63\x75\x6d\x65\x6e\x74’));//对t数组进行提取、重组、解密处理

    window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] (t);//输出加密后的t的内容

    是不是有什么感觉？觉得像什么？

    我们把\x64\x6f\x63\x75\x6d\x65\x6e\x74和\x77\x72\x69\x74\x65分别用我们刚才的alert的办法解密出来，他们分别对应的是document和write，也就是说最后这2行的意思就是对t数组进行提取、重组、解密处理并输出最后正确的结果。知道这个我们就很容易理解了,所有网马到最后为了输出让浏览器识别，都要进行最后的解密输出。通常就是document.write和eval里的内容了。那么我们用刚才的document.getElementById(’textfield’).value=t;替换掉window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] (t);并再页面顶端的<body>下面加入如下代码：
    <form id="form1" name="form1" method="post" action="">
    <label>
    <textarea name="textfield" cols="100" rows="50"></textarea>
    </label>
    </form>

    再次运行网马。即可得到第一层解密的结果：

    这还不是我们要的最终结果。还记得上面讲过的？遇到eval就替换为alert：

到的就是解密的结果，点下窗口标题，然后Ctrl+C快捷键，复制下，然后粘贴出来，就可以得到代码了！

    顺便提下最近比较流行的溢出型网马的解密方式：var shellcode = unescape("邐"+"邐"+

    这样的代码其实是可以翻译成明文的，这里使用的加密方式是将ASCII转换为unescape，对应解密方式就是反过来啦，借助工具

    就可以轻易解密了，这样你就可以再没有生成器的时候将别人的网马改为自己的了！
无意中猎取到一个Oday的话，就happy了O(∩_∩)o…
    最后终结：
    我们适用到的几个关键词和办法：
    关键词：
    1. document.write
    2. eval
    3. alert
    4. <noscript>
    <iframe src=*>
    </iframe>
    </noscript>
    5.document.getElementById(’textfield’).value=t;

    <form id="form1" name="form1" method="post" action="">
    <label>
    <textarea name="textfield" cols="100" rows="50"></textarea>
    </label>
    </form>
    用法：
    碰上document.write，我们一般把它改成“alert”，如果遇到“eval”一般改成“document.write”，遇到alert无法显示完整代码时适用document.getElementById(’textfield’).value=t;将他赋值给一个文本框，然后再<form id="form1" name="form1" method="post" action="">
    <label>
    <textarea name="textfield" cols="100" rows="50"></textarea>
     </label>
    </form>
    表单中显示出来，如果遇到使用了
    <noscript>
    <iframe src=*>
    </iframe>
    </noscript>
    而无法显示网页代码的。就到IE缓存中寻找被保存到本地的网马文件，用我提供的办法应该可以解开绝大部分的网马了，
希望大家看完知道不是盲目的套用，而是可以举一反三！这样才能不断进步。没有你做不到的，只有你想不到的！