前些日子wxd告诉我说,MDecoder对网页获取的不完全,遇到NULL字符就断了。当时感觉有些纳闷,我记得显示网页源码的时候需要把NULL替换掉的,所以带NULL字符的网页应该是能获取到得。晚上回家后调了下,发现问题了,MDecoder默认是接受GZIP压缩传输的,如果网站支持GZIP压缩传输的话,就会给压缩后的数据。但是有些服务器的GZIP压缩似乎有问题,如果网页中含有NULL字符的话,后面的就被落下了,只压缩了NULL字符前面的数据,这样发给MDecoder的就是残缺的数据。试着把GZIP的接受请求去掉,网页获取的就是全的了。靠,这个也不是MDecoder的BUG,是网站的问题。我没有去看,但是按理来说,IE这种流行的浏览器都应该是支持GZIP传输的,也就是说那个挂马的网站传给IE的数据也是残缺的,无法正常执行,所以,我说,挂马的小哥有点专业精神行不。
奶奶的,挂的破马不完全,搞的我老怀疑自己小工具的检出率有问题。
“IE这种流行的浏览器都应该是支持GZIP传输的,也就是说那个挂马的网站传给IE的数据也是残缺的,无法正常执行”,是这样的,我以前也碰到过某些网站gzip压缩不对的情况。