网页解密

为什么会有网页脚本加密？网页脚本加密的背后到底有什么见不得人的事情呢？其实，网页脚本加密一般是用于网页木马的免杀，一般来说入侵者成功取得Webshell权限以后就会对整个网站进行批量挂马，其中挂马的语句大多是“iframe”，也有些为了隐蔽会插入Flash（geturl）或者js里面等等。常见的主要以“下载者”和QQ盗号木马居多，大多利用的都是IE的漏洞，如MS06014和MS07004，可见打好补丁的关键性和选择一个好的浏览器的安全性。本文只是简单对小聪、蛊毒、Tkabc的脚本界秘方法做了个总结，如有错误和遗漏之处请予以指正！

首先我们要了解常见的一些加密方式，基本的加密方式主要以：Unescape、ASCII、oct/hex/det、无用字符(NUL、TAB等等）、Script Encoder、US-ASCII、Urlencode为主。额外的还有自己写的算法。

Unescape码，是通过Unicode码的转换实现的，型如unescape("Hello%7B%5BWorld%5D%7D")这个形式的我们称之为escape加密。这种加密的方式实际就是escape/unescape转义到反向转义的转换过程，在韩总的网上有在线解密的http://www.hzqedison.cn/jm.htm，例如：

我们选择上面打红圈的“unescape解密”后就会出现加密前的代码：

Script Encoder码，是通过JScript.Encode或者VBscript.Encode脚本的转换实现的。型如：#@~^IQAAAA==jDl.DPAxmKN ~5KE.Pkm.raYP4nD @#@&2woAAA==^#~@ 我们称之为Script Encoder。这类的加密是Microsoft引入的Script Encoder使用的加密算法，编码后的代码运行前IE会先对其进行解码，如果把加密的代码放入一个自定义函数中对自定义函数调用toString()方法，得到的将是解码后的代码。这里要特别记住的是#@~^l这个是Script Encode的特征，同理，我们可以使用一个名为“游戏代码人助手”的软件来辅助解码或者可以在网上搜索响应的解密网页，我们以“游戏代码人助手”的软件来举例，例如：

我们选择其中的打红圈的地方JS代码àJScript.Encode解密，然后就会得出加密前的代码：

Urlencoder码，型如：%3Ciframe%3Ehttp://www.wulin7.cn/sys/1.htm%3C/iframe%3E我们称之为Urlencode，它实际上是HTMLEncode/Decode的互转，这种编码比较简单，在韩总的解密页http://www.hzqedison.cn/jm.htm上有相应的解密代码，例如：

我们复制到解密的网页上选择Urlencode解密就可以得到原始的代码：

16进位/10进位/8进位/编码，ASCII是美国信息交换标准码，这种加密方式是对代码进行ASCII编码转换。而转义字符"/"这个符号在JavaScript代码中后面可以和8进制、10进制、16进制的数字混淆代码。

型如  

<SCRIPT LANGUAGE="JavaScript">

eval("\141\154\145\162\164\50\42\u4ee3\u7801\u6d4b\u8bd5\42\51\73")

我们称之为8进制的加密；

型如  

<DIV STYLE="background-image:\0075\0072\006C\0028\006A\0061\0076\0061\0073\0063\0072\0069\0070\0074\003A\0061\006C\0065\0072\0074\0028\0027\0058\00

我们称之为16进制的加密；

型如

<div style="background-image:url(javascript:eval(String.fromCharCode(97,108,101,114,116,40,39,120,115,115,39,41,59)))">

我们称之为10进制的加密。

这类型的加密我们可以通过ASCII转义符来进行解密，给以在韩总的网页http://www.hzqedison.cn/jm.htm上得到答案。例如：

这个只是随便的举的例子而已，实际中是不会有这种样子加密的，只是便于说明，选择相应的转换按钮就得到了答案。

无用字符串（NUL、换行、空格、TAB、转义字符""等，在HTML中任意位置添加"空字符"，即NUL（16进制00H），IE能正常显示其中内容，其实在JS代码中加入无用字符串，甚至加入换行、空格、TAB一样能被IE识别。所以我们只需要把相应的空格,TAB等等去掉就可以了。型如：<S   C  R I   P  T> a l er t ("露露") ; < / SC R I P T>称之为NUL空字符混淆。去掉NUL的方法有很多，我们可以使用一些十六进制编辑工具，把Hex 码是 00 (即是NUL) 都去掉就行，比如：UltraEdit、C32Asm、WinHex等等。当然韩总的http://www.hzqedison.cn/jm.htm也有！就不多举例子了。

S-ASCII码，型如：艰繇炀姞俭泸轲魻灬铉踽珏舰致鱼蜷痿⒕婔麋旖⑶泞婔妁鼋⒃ 趑殍舰龄 鳄舰镤 稆珂舰猱 礤蹁舰郁 沅祢舰蝈 骧骝舰犴 蹴鲠舰镳 痄赧舰孱 黹舰予 镫祯舰屐 狃犋舰飚 铞趄舰琉 痿麒舰痨 骣忭舰殂 踱蝼舰狒 鲨驷舰轱 铈钼舰睥婛篥锝⒂恽婑腱踅Ⅱ棰婗祯蚪 簪婔桦杲㈤睥婌珩罱㈢ 婋溻旖⑵棰婎铠憬㈧澧婇遽踅⒂ 婋聍 Ⅲ簪婁泖饨㈠恝婐镡 ⑾猗婗梏杲㈥澧婄牿窠 簪婒钼 我们称之为US-ASCII加密，导致乱码就是编码把7bit转换为8bit，而不是平常的gb简体编码，解密只要把每个字节的高位置0即可，其实也可以在语言选项将“西欧(windows)”改成“简体GB2312”然后另存为新的网页。这种加密的方式的解密可以用一个叫“ASCII Decoder”的工具来进行转换，也可以在网上搜索相应在线解密网页，例如：

我们用ASCII Decoder来进行解密，将代码存到一个记事本里，然后将把ASCII Decoder和记事本文件放在同一个盘符内，执行ASCII Decoder.exe （记事本的名字）.txt，然后就可以了。

ASCII编码，ASCII是美国信息交换标准码，这种加密方式是对代码进行ASCII编码转换

型如上面的就是ASCII加密，我们可以用ASCII代码速查表或者UltraEdit、C32Asm、WinHex来解码，我们将上面引号部分的编码放入C32Asm中，首先先新建立一个16进制文件，

文件->打开->新建16进制文件

然后将文件的大小写上，不能太小以免装不下，然后选择16进制，“00”填充，就可以了。

然后将编码复制入剪切版，然后选择“编辑”->“特别粘贴”，接下来会弹出一个复选框

这里我们选择Ascill Hex然后点确定就可以。然后我们就看到加密前的代码。

自己写的算法[脚本还原法、FSO还原法]，这类加密方法比较难以解决，至少在我看来是这个样子的，面对这种我们需要的是耐心，以及JavaScript和 VBScript的FSO操作。这里举几个我见过的例子，顺带的也扩展上面所讲的东西。因为很多加密方式都是综合性的。

JavaScript还原脚本法

这是一个JavaScript加密的例子，对于JavaScript我们可以进行脚本还原，我们需要留意这么两个关键词“document.write”和“eval” 。“document.write”在JAVASCRIPT是一条打印语句，而“eval”指的是eval()函数，这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。如果在JS的加密代码中碰上 document.write，我们一般把它改成“alert”，如果遇到“eval”一般改成“document.write”。

对于上面的例子来说，代码写得不是很整齐，我们将代码整理下以便于我们的分析：

我们可以看到代码中有两个“eval”，前面的“eval”是定义运行Function（）这个函数的，这个不能修改，而后面的则是调用参数用的，我们可以修改这个。

将后面的“eval”改成“document.write”，然后存为脚本htm网页，预览就会得到加密前的代码。