网页木马全揭秘

    如今网页木马攻击技术，已经取代远程溢出、嗅探等各种攻击方式，而成为被各种攻击者应用最为广泛的一种攻击手段。攻击者是如何制作出各种功能强大的网页木马的?网页木马又是如何免杀加密的?如何揪出网页中隐藏的网页木马?

    最全最新的网马生成器——黑手刃

    网页木马制作来源非常多，可以利用各种系统漏洞，比如不久前的MS07004、MS07055漏洞等；同时，也可以利用各种常用软件的漏洞，比如迅雷、百度搜霸、暴风影音、PPSteram等，都曾爆出过危险的漏洞。网上都有这些漏洞的利用工具，可以轻松的生成相应的网页木马，不过想不想一次生成攻击所有系统和软件漏洞的万能网页木马?

    “黑手刃2008免杀网马生成器v4.13”是一个集合了众多系统漏洞及第三方软件漏洞，编写而成的网页木马生成工具。利用黑手刃，我们可以可生成MS06014、MS07004、MS07055、Qvod、Ajax、Yahoo、迅雷5、联众大厅、百度搜霸、暴风影音II、PPSteram、超星阅读器等多种漏洞攻击的网页木马。

    准备木马

    在制作网页木马前，首先当然是要生成一个木马客户端程序，并将它上传到网站空间中去。最近的各种新远程控制木马层出不穷，其中有一款叫作“炽天使远程控制系统”的木马，功能比较强大。

    运行“炽天使远程控制系统3.0”，点击工具栏上的“生成服务”按钮，打开木马制作对话框。在“基本信息”标签页中，可设置上线主机的标识，木马文件名和连接验证密码，并可对木马服务名及服务描述，以及木马文件图标进行伪装。在“连接设置”标签页中，设置木马反弹连接的地址，可采用静态地址或URL文本下载两种方式进行连接。在“高级设置”标签页中，可以设置木马注入程序、使用代理连接客户端等高级功能。最后是“生成设置”标签页，其中有一个很重要的设置项目“程序自保护”，启用该功能后，可以实现木马自我隐藏端口、服务及文件，并可突破杀毒软件的主动防御功能。

    提示：现在的木马大多具备了突破杀毒软件主动防御的功能，“炽天使远程控制系统3.0”可以突破卡巴斯基7、江民和瑞星2008，以及国外几款主动防御软件，并且可以突破Nod32、Mcafee，卡巴斯基7等杀毒软件的启发式病毒检测。

    一些设置完毕后，点击“生成”按钮，即可生成一个功能强大的木马服务端程序。由于炽天使是基于插件式概念结构扩展的远程控制木马，使用纯VC SDK打造，服务端的体积非常小，仅有40多KB，非常适合制作网页木马。将生成的服务端上传到某个网站空间中，这里推荐GooglePages，假设获得木马链接地址为“http：//binghexijian.googlepages.com/muma.exe”。

    生成网页木马

    运行“黑手刃2008免杀网马生成器v4.13”．在“地址”区的第二个输入框中输入刚才的木马链接地址。在下方“漏洞选项”中，可以看到工具集合了众多系统漏洞，以及第三方软件漏洞。在其中勾选需要的漏洞项目，当然也可以全部勾选，然后选择网页木马生成方式。工具提供了两种生成方式，一种是直接生成HTML文件，一种是生成GlF图片。对于菜鸟来说，直接生成HTML网页文件是最好利用的。点击“点击生成”按钮，即可在当前目录下生成多个网页木马文件了。

    加密免杀的网马代码

    在“黑手”2008免杀网马生成器v4.13”所在的目录下，可以看到刚才生成的多个网页木马文件，我们可以用各款杀毒软件检测这些网页木马文件，可以发现没有一款杀毒软件会检测到病毒。这是由于黑手刃对网页木马中的漏洞溢出代码进行多次变形变异及加密，从而保证了网页木马免杀。网页木马是如何实现免杀的呢?我们来看看生成的网页木马代码。

    用记事本打开任何一个生成的网页木马，这里选择“MS07004.htm”，可以看到网页源代码中全部都是奇怪的加密数字代码，基本看不出来是什么意思。同样的，杀毒软件也无法对网页木马进行查杀。如果将这些代码全部复制后，加入到任何一个正常的网站网页代码中，就可以实现挂马的目的了。

    如果要打造一个万能攻击的网页木马，那么可以将刚才生成的所有网页木马全部打开，复制所有文件的代码，全部插入到某个网页中，这个网页就变成万能攻击性的了!因为这个网页利用了这么多的漏洞，从系统漏洞到第三方软件漏洞相信普通电脑中，都或多或少的存在着其中一个或多个漏洞，所以一定会被网页木马所攻击的。

    ——只要对方被网页木马攻击后，打开炽天使木马客户端程序，就可以看到肉鸡上线了!

    解密——神奇的网页木马源码

    刚才我们看到了，网页木马是一段加密的代码，因此很难被人工或杀毒软件检测出来。网页木马是如何进行加密的呢?有时候我们访问某些网页，也有中木马的情况，如何解密其中加密的代码，揪出真实的网页木马呢?

    在记事本中查看刚才的网页木马代码最底部，可以发现如下字符串信息：

    t=eval["string.fromCharCode("+t+")"]；

    document.write(t)；

    这段代码的意思，其实就是将经过加密的真实源码赋值为t，再用document.write写出执行。其实上面的加密代码，采用的是JS加密方式。对于这类加密方式，要采用字符替换的方式，以显示还原代码。可将“document.write”改成“alert”。保存文件后，在IE浏览器中打开此网页，即可看到弹出了真实的代码内容。

    提示：在JAVASCRlPT语言中，“document.write”是一条打印语句：而“eval”指的是eval()函数，这个函数可以把一个字符串，当作一个JavaScript表达式一样去执行它。如果在JS的加密代码中碰上“document.write”，通常将它改成“alert”，如果遇到“eval”，一般改成“document.write”。

    一般来说，普通网页木马通过修改替换字符，就可以实现解密的目的。但是这个网页木马有点特殊，由于网页源代码比较多，因此在弹出窗口中无法显示完整所有的代码，因此可以使用特殊的<XMP>标签法来进行解密。可将上面的“document.write(t)”字符串修改为如下代码：

    document.write（"<xmp>"+t"</xmp>"）

    保存后重新刷新浏览网页，此时即可在网页中间显示出来真正的源代码。因为这里使用了特殊的<xmp>标签，因此将代码直接注释显示了。但是现在代码依然还有些问题，仔细查看可发现，代码其实是被逆序过的，所以很难直接看清楚，因此还需要进行最后的解密。解密的方法也是相同的，复制网页中显示的所有代码到记事本中，在明文代码最后可以看到如下字符串：