个人浅谈asp大马解密

suwey

从本人接触asp大马以来，很多asp马都是采用了各种方法进行加密，这当然达到了免杀效果，但也无疑让我等小菜感到无奈，还记得最初居然想通过看加密函数，然后自己对着密文倒着写（这个够蠢啦）来解密，自从那次写到手抽筋后（而且也没法写完，太累了），我就想一定得找到一个方法解除asp马的加密！！
    之后，我一步步尝试了很多方法，终于最近想到了一个很简单的解密方法。我们以论坛刚发布的暗组2010asp大马为例，因为这个只需要一次解密就行了，为什么呢？因为代码里面只有一个execute！不管遇到什么样的马，有几个execute就得进行几次操作，这里只有一个那么我们就很方便了。我们把最后一句execute(Session("hhqTeBAhS"))去掉，然后写上
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.CreateTextFile(server.mappath("go.asp"),True)
thisfile.Write(""&Session("hhqTeBAhS")& "")

把它保存起来，在asp环境里面运行一下，同一个目录里面会生成一个go,asp文件，这个文件里面的代码就是解密过后的代码了，当然你得自己加上<%%>这种asp标记。因为这个木马只有一个execute所以这样解密后就出来了，如果是有多个的话，把每次解密后的代码合成到一个文件就行了。这种方法应该是最简单的方法了，而且是通用的，除了vbscript.encode这种需要用工具先解除encode加密效果，其他都可以直接解密。因为，只要asp马可以运行，它的解密函数就已经写好了，别人的execute可以执行什么，我们文件里面就会生成什么。

   所以，只要将execute括号里面的拷贝到上面thisfile.write里面两个"&"符号的中间，就可以解出那一段execute所执行的内容。直接生成文件可以避免直接输出代码会被浏览器解析，导致部分代码得查看源文件才能看到的问题。不过，记得一定要在原文件上改哦，因为所有会用到的解密函数可都在那里面的！