MDecoder V0.2

懒惰了N久后,更新鸟,改用VC写,^_^,以下是更新说明:
         1,增强解密功能。增加对base62,htmlship,MSsrenc等的解密,不过一般应该不用关心这个,使用默认的AUTO就可以解密大部分网马了。
         2,增加自动模式。使用MDecoder.exe -auto来进入自动解密模式。输入命令似乎有点麻烦,不过我想不出在哪里添加界面了,建议经常使用这种模式的人添加一个快捷方式吧,里面带上参数。
         3,关于页面里增加检查更新的功能。最近老改,BUG和新想法层出不穷,指不定哪天就更新了,为了方便,增加了检查更新的功能。
        4,模仿Freshow增加了替换和翻转的选项,还有HEX解密时输入KEY。不过似乎一般不用输入KEY,AUTO解密的时候我会暴力查找KEY并解密。
        5,其他的零碎:wdomain.ini中有过滤链接时会去掉的域名,你可以在里面自己添加删减,每行一个域名就可以了。自动解密模式会自动丢弃重复的链接。

下载地址:http://mtian.org/down/MDecoder.zip

后续计划:
         这个只是我个人业余时间写的小东西,恩,还有许多打算做而没有做的事,比如AUTO模式中线程的限制,目前是有多少发多少线程的。还有配置文件啊,打算将解密的一些参数放配置文件里。解密功能还得继续增强,一些网马分多文件,需要要拼起来解密的,目前就是一个文件按一个文件看的,那个暴力提取shellcode只能暂时挡一挡需求。不过这种MDecoder的静态解密似乎不能从根本上解决问题,网马终究是给浏览器的HTML页面(呃,或者flash,pdf等),所以有空的话,研究下firefox和chrome的源码也是有必要的。呃,这些都是想法,想法而已,我并不承诺以后一定会做的。

感谢:
        感谢glacier_lk对我一如既往的支持。
        感谢SJF帮我改BUG,初学VC,总是有各种菜菜的问题,o(∩_∩)o…哈哈。
       感谢所有即将使用这个小东东的同学,你们才是我最终的动力(我靠,我真会说话)。

截图:
base62解密(这种压缩算法的官方似乎就是这么命名的):

base62
base62

htmlship解密(我瞎起的名):

htmlship
htmlship

MSsrcenc解密(我瞎起的名,too):

MSscrenc
MSscrenc

vbs_char解密(呃,名字同上):

vbs_char
vbs_char

暴力提取shellcode解密,包含在自动解密中,如其名,很暴力,效率低,而且我不能保证他的准确性,但有些时候还需要他,哈哈:

暴力提取shellcode
暴力提取shellcode

最后是一张自动解密的图:

自动解密
自动解密

11 Replies to “MDecoder V0.2”

  1. Pingback: MDecoder V0.2

  2. 不过有很多情况需要进一步考虑和升级的。。。
    测试了一下,针对注释的字符没有过滤好吧?
    V8应该只是能针对JS的解密,而且我感觉通过正则匹配始终不是解决问题的最好方法,AJAX方式挂马和FLASH,PDF之类的确实是很头疼的事情,不过如果能配合杀毒软件的话,估计FLASH和PDF的是可以检测通过的~当然前提是杀毒软件能够正常报出来~~
    不过这个自动化的东西还真好。。。
    不知道这个VC版本的准备开源不?

    • to wxd:
      /* */简单删除了一下,别的注释没处理。
      网马渐渐的不多了,这个小工具似乎用的人也不多,0.28出的分享日志的功能几乎没人去分享,心有些冷,是想开源的,但如我所说这只是我初学VC的小东东,代码写的挺烂的,不想放出去丢人了,呵呵。当然,不开源还有些私心。最近对钱的渴望越来越大了,啥都要花钱,我还想着这个小东东不知道能不能卖几块钱耍耍。

  3. 如果想卖钱的话,估计还需要好好做一下吧~
    因为这方面的东西需要考虑的东西太多了。。如果是想实现自动化的话!
    你的QQ多少?我的是15872896

    • to wxd:也懒得改了,没人主动就先放着,反正我也没啥期望。如果没人要的话,明年此时再开源。继续搞的话似乎比较费力,而且对我来说没啥直观的好处,各家杀软几乎都有自动化的分析系统,尤其知道创宇做的很NB。而且不知道WIN7出来后网马还有多少日子。

回复 wxd 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注

*