网马解密大讲堂——网马解密中级篇(Freshow工具使用方法)

阅读上一篇：网马解密大讲堂——网马解密初级篇

今天主要讲解的内容是Freshow工具的使用方法，工欲善其事,必先利其器，首先要学会如何使用解密工具，才能一步一步进入解密的殿堂，揭开网马解密的神秘面纱。好了，我们先来认识认识我们用到工具(Freshow)，截图如下

freshow工具使用的详细注释如下：

1.URL：要解密的网址地址
2.Check：用来获取要解密网址的源代码(此工具要在联网状态下使用)
3.上操作区域：获取到的网站源代码在此处显示
4.C：清除代码，用来清除上操作区域和下操作区域的代码
5.P：是复制代码
6.Filter：过滤网页源代码中的js、iframe、script链接
7.Decoder：解密按钮，用来解密加密的网页源代码
8.过滤选项：
Qeye：过滤网页源代码中潜在的恶意链接，如：iframe、script结果会显示在收集区域；
Connect：连接字符串，如‘a+b’，使其变为：ab；
Nuls：过滤空字符串，使得脚本更容易阅读；
Replace：替换字符串；
Reverse：逆转字符，一些特殊的脚本采用这种方式。
解密选项：
9.Esc：可以转换％、％u、\x等形式的转义字符，\x可以再操作异或，如果知道确切的值，就在附加区域
里输入它，或者使用枚举异或enumXOR，会自动处理并返回结果 ；
ASCII：可以转换“1,2,3”形式的ASC码，分割符可以覆盖；
US-ASCII ：代码类似汉字，且代码中包含有： <meta?http-equiv="Content-Type"?
c?/>
Alpha2：这个算法针对在Replayer的漏洞利用上，首先转换到\x形式，因为可能会经过异或操作；
enumXOR：对十六进制的数据进行枚举异或，并返回结果；
Base64：这种加密方式很少见，加密特征大小写字母及数字混排，末尾可能包含等号；
Winwebmail:网马加密代码中有类似：document.write(unencode(webmm,3422));代码(至今未见过此类加密方式，这个不确定)
10.密钥 (目前主要ie7.0漏洞的解密需要密钥)
11.UP:将下操作区域的内容翻转到上操作区域进行二次解密
12.上选择按钮：对上操作区域代码进行清空或复制
13.下选择按钮：对下操作区域代码进行清空或复制
14.下操作区域：解密出网马结果显示在此处
15.收集区域：由Qeye筛选出的恶意链接被罗列在这里，可以通过上移、下移、删除、全选等操作。当选
中其中一个链接时，自动处理为新的URL，这时可以check得到新的源代码，显示在上操作区域，可继续
解密
16.ALL: 勾选所有收集区域的地址
17.Del：删除不需要的链接
18.上移按钮：将恶意链接地址进行上移操作
19.下移按钮：将恶意链接地址进行下移操作
20.Log：自动将选择项复制到剪切板并做一定的格式化处理，方便直接在论坛或其他地方与他人共享分
析结果
21.Download：将选择的网马地址复制到剪切板，并下载相应的网马(例如：迅雷、flashget开启状态下
，并设置了监视相应的文件类型，此时点击download按钮就会调出默认的下载工具下载网马。)
22.Obj：目标插入区域，将最终解密出来的网马地址，复制到obj区域，并按Insert插入，它将会被自动
插入到之前选中的链接后，作为子级
23.Insert：插入网马链接地址
24.State：连接状态，可通过连接状态来判断网址是否失效。

工具下载，内附Freshow工具及中英文版的使用说明(pdf格式）、官方网址，顺便宣传一下jimmyleo大牛哈。

下载地址：FreShow1.5.rar （231.68 KB）