网马解密中级篇(Freshow工具使用方法) |
今天主要讲解的内容是Freshow工具的使用方法,工欲善其事,必先利其器,首先要学会如何使用解密工具,才能一步一步进入解密的殿堂,揭开网马解密的神秘面纱。好了,我们先来认识认识我们用到工具(Freshow),截图如下 1.URL:要解密的网址地址 2.Check:用来获取要解密网址的源代码(此工具要在联网状态下使用) 3.上操作区域:获取到的网站源代码在此处显示 4.C:清除代码,用来清除上操作区域和下操作区域的代码 5.P:是复制代码 6.Filter:过滤网页源代码中的js、iframe、script链接 7.Decoder:解密按钮,用来解密加密的网页源代码 8.过滤选项: Qeye:过滤网页源代码中潜在的恶意链接,如:iframe、script结果会显示在收集区域; Connect:连接字符串,如‘a+b’,使其变为:ab; Nuls:过滤空字符串,使得脚本更容易阅读; Replace:替换字符串; Reverse:逆转字符,一些特殊的脚本采用这种方式。 解密选项: 9.Esc:可以转换%、%u、\x等形式的转义字符,\x可以再操作异或,如果知道确切的值,就在附加区域 里输入它,或者使用枚举异或enumXOR,会自动处理并返回结果 ; ASCII:可以转换“1,2,3”形式的ASC码,分割符可以覆盖; US-ASCII :代码类似汉字,且代码中包含有: <meta?http-equiv="Content-Type"? c?/> Alpha2:这个算法针对在Replayer的漏洞利用上,首先转换到\x形式,因为可能会经过异或操作; enumXOR:对十六进制的数据进行枚举异或,并返回结果; Base64:这种加密方式很少见,加密特征大小写字母及数字混排,末尾可能包含等号; Winwebmail:网马加密代码中有类似:document.write(unencode(webmm,3422));代码(至今未见过此类加密方式,这个不确定) 10.密钥 (目前主要ie7.0漏洞的解密需要密钥) 11.UP:将下操作区域的内容翻转到上操作区域进行二次解密 12.上选择按钮:对上操作区域代码进行清空或复制 13.下选择按钮:对下操作区域代码进行清空或复制 14.下操作区域:解密出网马结果显示在此处 15.收集区域:由Qeye筛选出的恶意链接被罗列在这里,可以通过上移、下移、删除、全选等操作。当选 中其中一个链接时,自动处理为新的URL,这时可以check得到新的源代码,显示在上操作区域,可继续 解密 16.ALL: 勾选所有收集区域的地址 17.Del:删除不需要的链接 18.上移按钮:将恶意链接地址进行上移操作 19.下移按钮:将恶意链接地址进行下移操作 20.Log:自动将选择项复制到剪切板并做一定的格式化处理,方便直接在论坛或其他地方与他人共享分 析结果 21.Download:将选择的网马地址复制到剪切板,并下载相应的网马(例如:迅雷、flashget开启状态下 ,并设置了监视相应的文件类型,此时点击download按钮就会调出默认的下载工具下载网马。) 22.Obj:目标插入区域,将最终解密出来的网马地址,复制到obj区域,并按Insert插入,它将会被自动 插入到之前选中的链接后,作为子级 23.Insert:插入网马链接地址 24.State:连接状态,可通过连接状态来判断网址是否失效。 一个完整的freshow日志,其中红色部分均为真实的网马地址: 注意:该网站有多处被挂马,内容都相同,只解出其中一个即可。 Code: Log is generated by FreShow. [wide]http://qianshou.tfol.com [script]http://qianshou.tfol.com/Js/highslide-with-html.js [script]http://3b3.org/c.js [frame]http://4t6nhh.6600.org/a/a100.htm [frame]http://4t6nhh.6600.org/a/cnzz.htm [frame]http://4t6nhh.6600.org/a/kk.htm [script]http://4t6nhh.6600.org/a/14.js [object]http://xin89221.com/love/windoss.css [frame]http://4t6nhh.6600.org/a/flash.htm [frame]http://4t6nhh.6600.org/a/iqq.html [object]http://4t6nhh.6600.org/a/i16.swf [object]http://4t6nhh.6600.org/a/i28.swf [object]http://4t6nhh.6600.org/a/i45.swf [object]http://4t6nhh.6600.org/a/i47.swf [object]http://4t6nhh.6600.org/a/i64.swf [object]http://4t6nhh.6600.org/a/i115.swf [frame]http://4t6nhh.6600.org/a/fqq.html [object]http://4t6nhh.6600.org/a/f16.swf [object]http://4t6nhh.6600.org/a/f28.swf [object]http://4t6nhh.6600.org/a/f45.swf [object]http://4t6nhh.6600.org/a/f47.swf [object]http://4t6nhh.6600.org/a/f64.swf [object]http://4t6nhh.6600.org/a/f115.swf [frame]http://4t6nhh.6600.org/a/xx.htm [script]http://4t6nhh.6600.org/a/xx.js [object]http://xin89221.com/love/windoss.css [frame]http://4t6nhh.6600.org/a/office.htm [script]http://4t6nhh.6600.org/a/office.js [object]http://xin89221.com/love/windoss.css [frame]http://4t6nhh.6600.org/a/02.htm [script]http://4t6nhh.6600.org/a/set.js [object]http://xin89221.com/love/windoss.css [script]http://4t6nhh.6600.org/a/reee.js [frame]http://4t6nhh.6600.org/a/real.htm [script]http://4t6nhh.6600.org/a/real.js [object]http://xin89221.com/love/windoss.css [frame]http://4t6nhh.6600.org/a/real.html [script]http://4t6nhh.6600.org/a/re11.js [object]http://xin89221.com/love/windoss.css [script]http://4t6nhh.6600.org/a/rkkk.js [frame]http://4t6nhh.6600.org/a/lz.htm [script]http://4t6nhh.6600.org/a/lz.js [object]http://xin89221.com/love/windoss.css [frame]http://4t6nhh.6600.org/a/bf.htm [script]http://4t6nhh.6600.org/a/bf1.js [script]http://4t6nhh.6600.org/a/bf.js [object]http://xin89221.com/love/windoss.css |
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) | Powered by Discuz! 7.2 |