作品发布     邀请码    设为首页  收藏 

当前位置:文章黑客攻防 → 文章内容 >> 解密asp大马之寻找解密函数


解密asp大马之寻找解密函数

更新时间:2011-6-1 5:19:27   作者:佚名  来源:不详

今天就拿zzzhk的马来演示吧, 他的马后门最多也最牛X

首先拿到看到了<%@ LANGUAGE = VBScript.Encode %> <a网络安全 src="http://www.honhei.net/Article/UploadFiles/201105/20110531094233273.jpg" width=682 height=485>

然后拿个asp反编码的工具, 百度一大堆,等下打包

注意,反编码遇到×这个字符会解到一半自动退出, 解决: 把×替换个符号例如ぉ

然后打开工具

<a网络安全 src="http://www.honhei.net/Article/UploadFiles/201105/20110531094234829.jpg" width=428 height=440>

 看完全脱掉了,复制出来保存为1.asp

接下来就是找自定义解密函数了

网络<a安全 src="http://www.honhei.net/Article/UploadFiles/201105/20110531094234684.jpg" width=1046 height=451>

Escape 加密 百度下UnEscape解密

RRS”<script language=javascript>function killErrors(){return true;}window.onerror=killErrors;”
RRS”function yesok(){if (confirm(“”你确认要执行此操作吗?”"))return true;else return false;}”
RRS”function ShowFolder(Folder){top.addrform.FolderPath.value = Folder;top.addrform.submit();}”
RRS”function FullForm(FName,FAction){top.hideform.FName.value = FName;if(FAction==”"CopyFile”"){DName = prompt(“”请你输入复_制到目标文_件的_全_名_称”",FName);top.hideform.FName.value += “”||||”"+DName;}else if(FAction==”"MoveFile”"){DName = prompt(“”请你输入_移_动到目标文件_全_名_称”",FName);top.hideform.FName.value += “”||||”"+DName;}else if(FAction==”"CopyFolder”"){DName = prompt(“”请你输入移动到目标文件夹_全_名_称”",FName);top.hideform.FName.value += “”||||”"+DName;}else if(FAction==”"MoveFolder”"){DName = prompt(“”请你输入移动到目标文件夹_全_名_称”",FName);top.hideform.FName.value += “”||||”"+DName;}else if(FAction==”"NewFolder”"){DName = prompt(“”请你输入要新建的文件夹_全_名_称”",FName);top.hideform.FName.value = DName;}else if(FAction==”"CreateMdb”"){DName = prompt(“”请你输入要新建的Mdb文件_全_名_称,注意不能同名!”",FName);top.hideform.FName.value = DName;}else if(FAction==”"CompactMdb”"){DName = prompt(“”请你输入要压缩的Mdb文件_全_名_称,注意文件是否存在!”",FName);top.hideform.FName.value = DName;}else{DName = “”Other”";}if(DName!=null){top.hideform.Action.value = FAction;top.hideform.submit();}else{top.hideform.FName.value = “”"”;}}”"

结果就出来了

接着找 execute AAAA(“XXXXXXXXXXXXXXXXXX”) 发现了一大串的东西..我们就来找解密函数

Function AAAA(objstr)

objstr=Replace(objstr,”Θ”,”"”")

For i=1 To Len(objstr)

If Mid(objstr, i, 1)<>”Ω” Then

NewStr=Mid(objstr,i,1)&NewStr

Else

NewStr=vbCrlf&NewStr

End If

Next

AAAA=NewStr

End Function

可以直接放进VB.

选择”"内容即 execute AAAA(“XXXXXXXXXXXXXXXXXX”)里的XXXXXXXXXXXXXXXXXX

网络安全

以此类推..思路就是这样了.

好了改天再写. 不懂的朋友请留言…老鸟别嘲笑

出处:网络安全探讨

责任编辑:华中帝国        



本文引用网址: 

解密asp大马之寻找解密函数的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码