小默

form：瑞星卡卡技術社區
by: networkedition
======================
==================
Document.write
解密方法之alert方法：將網馬代碼中的document.write替換為alert。
eg.彈出對話框<script src=3.css></script>
   將此代碼粘貼至freshow上操作區域，點擊filter按鈕，數據收集區3.css木馬網址。
   點擊3.css，進行check鏈接獲取網頁源代碼。
   解密選項自然選擇alpha2，點擊decode進行解密
   點擊UP按鈕，將第一次解密的結果上翻至上操作區域進行第二次解密，解密選項選擇esc，獲得網馬下載地址
   點擊insert按鈕，將解密出的網馬地址插入數據收集區
   點擊all按鈕全選，再點擊log按鈕，將解密出日志格式化輸出。

==================

Alpha2
該加密方式特征，代碼開頭:TYIIIIIIIIIIIIIIII
解密方法：一次Alpha2解密，一次esc解密

==================
shellcode
Shellcode網馬特征：以相同分隔符（一般為%u）分隔的4位一組的十六進制字符串。
解密方法：
-對于直接使用%u來分隔的shellcode，通過兩次esc可以直接解密出網馬地址。
-對于通過類shellcode形式加密的網馬，可以通過將代碼進行適當處理（將代碼替換為分隔符%u），再進行兩次esc解密

==================
Base64

Base64加密原理：(摘自小聰大牛的博客)

  把每三個字符，共24位2進制的ASCII碼，折分成連續4個6位的ASCII碼，再在每個ASCII碼前面補00變成8位， 最后對應一個碼表來變成編碼字符：

碼表為（從0～63分別依次對應）：
0對應A………………………………………………………………………………63對應/
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
如果最后不夠3位數，則補0，這時后面對應的編碼是“=”
例：原文：                a                  b                c
　　ASCII碼：    01100001 | 01100010 | 01100011
        分成4個：    011000 | 010110 | 001001 | 100011
        補足位數： 00011000 | 00010110 | 00001001 | 00100011
        數值大小：        24                22                9                  35
        對應編碼：        Y                  W                J                  j
        編碼結果：    YWJj

        如果只有ab兩個字符，則第三個字符用全0來代替，這時結果為YWI=
        其實按照算法，=對應的編碼其實也可以認為是為0，所以QQ==和QQAA用來解密的話，都是A，但是后面補0時用“=”是加密算法自己的設置，所以加密結果只能是QQ==而不會是QQAA
知道了加密原理，解密原理就反其道而行之就行了，呵呵……
-----------------
加密特征：

    大小寫字母及數字混排，末尾可能包含等號
------------------
Base64解密方法：

    我們還是以一個實例來簡單講解base64解密方法，在實際的網馬解密中，這種加密方式很少見。今天我們提供一種解密的方法，在這里用到的解密工具為：notepad++ 這個軟件(附件為notepad++)。后續我們還會講解使用一些其他的解密工具來解密base64。
 

======================
US-ASCII
加密特征：代碼類似漢字，且代碼中包含有<meta http-equiv="Content-Type" content="text/html; charset=US-ASCII" />
解密方法：使用freshow工具解密時，解密選項選擇US-ASCII,直接一次decode即可

=====================
eval
解密方法：malzilla->Decode->Run script

=====================
swf

Flash網馬簡介：flash網馬是利用Adobe Flash Player播放器嚴重安全漏洞， 攻擊者可以通過精心設計的特殊SWF文件實施攻擊。瀏覽這些特殊構造的SWF文件，會運行攻擊者設定的任意代碼。

Flash網馬解密方法：今天我們主要來講解如何利用(HTMLDecoder)工具，對flash網馬進行解密。此工具由小祥大牛開發的一款自動網馬解密工具，內附有flash網馬解密功能，在這里宣傳一下小祥大牛哈。工具下載見附件，本次講解不提供具體的swf文件下載，防止一些網友不明，胡亂運行導致系統中毒。主要講解對于flash網馬如何解密的方法.

功能-執行：A>PDF/CWS/Zlib Extractor   

======================
PDF

pdf漏洞簡介：PDF是由“Adobe Acrobat”制作的，它存在一個攻擊漏洞——可以在PDF文檔中，利用“Adobe Acrobat”提供的Javascript腳本功能，執行任意攻擊命令。
解密方法：pdf網馬和swf網馬一樣，解密工具都是可以使用htmldecoder工具，解密方法和網馬解密高級篇(SWF解密)一樣。今天講解的這個pdf網馬，可以直接使用freshow這個工具來解密，因為這個pdf包含的shellcode直接可以通過記事本看到。小技巧：對于pdf或swf格式的文件我們可以通過記事本的方式打開，直接查看文件的源代碼，你會有驚奇的發現，尤其是網馬解密，里面說不定就有你要的網馬地址呢，呵呵。本次講解同樣不提供pdf文件的下載，以免不明網友，下載后運行而導致系統中招。

.pdf源文件中復制出來的shellcode代碼--帶密鑰的shellcode--FreShow