对某ASC加密网马的破解和利用

QQ群中，有人在叫卖网马。网友花钱获得一个共享给我，让我看看。于是有了下面的这篇文章。

1、网马初探

　　在浏览器中打开网马，这个网马的功能比较简单，主要用来上传功能更强的网马。比较有特色的是可以在目标网页的上传漏洞，自己修改修改配置。查看该网马的源代码，发现该网马加密了，很明显是用ASC加密。(图1)



2、网马分析

　　虽然该网马的核心功能代码进行ASC加密了，但其框架一目了然。其代码及其解释如下：

以下是引用片段： <script language=vbscript>  ’可以看到该网马是一个VB脚本  function rechange(k)  ’定义了一个rechange函数，该函数定义了一个变量k  s=Split(k,",")  ’split的作用是把k以“,”分开，把其定义为一个数组  t=""  给t赋空值；  For i = 0 To UBound(s)  t=t+Chrw(eval(s(i)))  用for进行循环转换，把t值转换为字符，依次累加。UBound是数组的维数，Chrw是字符转换函数。  Next  rechange=t  把t返回到函数  End Function  t="60,33,68,79,67,84,89,80,69,32,104,116,109,108,32,80,85,66,76,73,67,32,34,45,47,47,87,51,67,47,47,68,84,68,32,88,72,84,77,76,32,49,46,48,32,84,114,97,110,115,105,116,105,111,110,97,108,47,......"  ’中间省略N多,这就是网马的功能代码  document.write rechange(t)  ’在浏览器中输出函数值  </script>

  
3、网马解密

　　可以自行编写一个ASC解密工具，笔者从网上下载了别人的ASC解密代码，然后根据该网马的加密原理进行修改重新编译生成解密工具。

　　运行该工具，把该网马源代码t后面的值拷贝至工具相应的文本框中点击解密，即可还原该网马的源代码。(图2)

[1] [2] 下一页