今天主要講解的內容是Freshow工具的使用方法,工欲善其事,必先利其器,首先要學會如何使用解密工具,才能一步一步進入解密的殿堂,揭開網馬解密的神祕面紗。好了,我們先來認識認識我們用到工具(Freshow),截圖如下
1.URL:要解密的網址地址
2.Check:用來獲取要解密網址的源代碼(此工具要在聯網狀態下使用)
3.上操作區域:獲取到的網站源代碼在此處顯示
4.C:清除代碼,用來清除上操作區域和下操作區域的代碼
5.P:是複製代碼
6.Filter:過濾網頁源代碼中的js、iframe、script鏈接
7.Decoder:解密按鈕,用來解密加密的網頁源代碼
8.過濾選項:
Qeye:過濾網頁源代碼中潛在的惡意鏈接,如:iframe、script結果會顯示在收集區域;
Connect:連接字符串,如‘a+b’,使其變爲:ab;
Nuls:過濾空字符串,使得腳本更容易閱讀;
Replace:替換字符串;
Reverse:逆轉字符,一些特殊的腳本採用這種方式。
解密選項:
9.Esc:可以轉換%、%u、\x等形式的轉義字符,\x可以再操作異或,如果知道確切的值,就在附加區域
裏輸入它,或者使用枚舉異或enumXOR,會自動處理並返回結果 ;
ASCII:可以轉換“1,2,3”形式的ASC碼,分割符可以覆蓋;
US-ASCII :代碼類似漢字,且代碼中包含有: <meta?http-equiv="Content-Type"?c?/>
Alpha2:這個算法針對在Replayer的漏洞利用上,首先轉換到\x形式,因爲可能會經過異或操作;
enumXOR:對十六進制的數據進行枚舉異或,並返回結果;
Base64:這種加密方式很少見,加密特徵大小寫字母及數字混排,末尾可能包含等號;
Winwebmail:網馬加密代碼中有類似:document.write(unencode(webmm,3422));代碼(至今未見過此類加密方式,這個不確定)
10.密鑰 (目前主要ie7.0漏洞的解密需要密鑰)
11.UP:將下操作區域的內容翻轉到上操作區域進行二次解密
12.上選擇按鈕:對上操作區域代碼進行清空或複製
13.下選擇按鈕:對下操作區域代碼進行清空或複製
14.下操作區域:解密出網馬結果顯示在此處
15.收集區域:由Qeye篩選出的惡意鏈接被羅列在這裏,可以通過上移、下移、刪除、全選等操作。當選
中其中一個鏈接時,自動處理爲新的URL,這時可以check得到新的源代碼,顯示在上操作區域,可繼續
解密
16.ALL: 勾選所有收集區域的地址
17.Del:刪除不需要的鏈接
18.上移按鈕:將惡意鏈接地址進行上移操作
19.下移按鈕:將惡意鏈接地址進行下移操作
20.Log:自動將選擇項複製到剪切板並做一定的格式化處理,方便直接在論壇或其他地方與他人共享分
析結果
21.Download:將選擇的網馬地址複製到剪切板,並下載相應的網馬(例如:迅雷、flashget開啓狀態下
,並設置了監視相應的文件類型,此時點擊download按鈕就會調出默認的下載工具下載網馬。)
22.Obj:目標插入區域,將最終解密出來的網馬地址,複製到obj區域,並按Insert插入,它將會被自動
插入到之前選中的鏈接後,作爲子級
23.Insert:插入網馬鏈接地址
24.State:連接狀態,可通過連接狀態來判斷網址是否失效。
工具下載,內附Freshow工具及中英文版的使用說明(pdf格式)、官方網址,順便宣傳一下jimmyleo大牛哈。
FreShow1.5.rar (231.68 KB, 下載次數: 99)