瑞星卡卡安全论坛

讲师：networkedition

内容简介：1、html语言简单介绍；2、网页挂马的概念；3、常见的网页挂马方式;4、常见网马所利
用的漏洞判断方式；5、网马解密工具介绍。

讲义地址：网马解密(下)

本次课程答疑时间：2011年7月14日 14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问，讲师会在答疑时间，编辑提问帖进行答疑！

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)

1：如果网马不加密我们是不是就会中马呢？？ 瑞星能检测没有加密的网马网页么？？
2：如果网马加密了，瑞星能不能检测出来呢？ 如果能那网马还有必要加密么？
3： 我们总不能登陆每一个网站前去检测一下吧，那样是否我们有更截近更快速的方式去判断一个网页有无网马呢？

networkedition回复：1、中不中网马和加不加密没有关系，加密是为了躲避杀软的拦截。
2、瑞星可以拦截，加密是为了躲避杀软的拦截
3、使用讲义中的工具进行检测。

一直往下找链接怎样判断最终找出了网吗呢

networkedition 回复：最终解密出来的内容包含网马下载地址形如：http://www.xxx.com/xxx.exe，说明就是找到最终的网马。但也有特殊情况，例如：css等文件。即文件的扩展名可以是任意，但文件头是pe形式的。

在Base64加密原理中有讲到，如果最后不够3位数，则补0，这时后面对应的编码是“=”，后面举例说“如果只有ab两个字符，则第三个字符用全0代替，这时结果为YWI＝”，为什么结果不是YW=呢？


networkedition回复：中英文字符？

文件头是pe形式是不是指网页下载形式如：www.feg.com/dhhh 或则ftp.hah.com/sdfhsh？？


networkedition回复：是指下载到的文件啊，http://baike.baidu.com/view/1087038.htm看一下pe文件的介绍吧