Search Preview
Как снять шифрование тела VBscript | Форум по информационной безопасности
safezone.ccПривет ! В этой теме я покажу как не имея знаний в области языков IT расшифровать тело VBScript-a для получения возможности его дальнейшего анализа...
.cc > safezone.cc
SEO audit: Content analysis
Language | Error! No language localisation is found. | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Title | Как снять шифрование тела VBscript | Форум по информационной безопасности | ||||||||||||||||||||||||||||||||||||
Text / HTML ratio | 41 % | ||||||||||||||||||||||||||||||||||||
Frame | Excellent! The website does not use iFrame solutions. | ||||||||||||||||||||||||||||||||||||
Flash | Excellent! The website does not have any flash contents. | ||||||||||||||||||||||||||||||||||||
Keywords cloud | и в не = с как на это что Сен расшифровать код я Поиск Симпатии по Разработчик все Dragokas Сообщения | ||||||||||||||||||||||||||||||||||||
Keywords consistency |
|
||||||||||||||||||||||||||||||||||||
Headings |
|
||||||||||||||||||||||||||||||||||||
Images | We found 19 images on this web page. |
SEO Keywords (Single)
Keyword | Occurrence | Density |
---|---|---|
и | 24 | 1.20 % |
в | 22 | 1.10 % |
не | 16 | 0.80 % |
= | 14 | 0.70 % |
с | 10 | 0.50 % |
как | 9 | 0.45 % |
на | 9 | 0.45 % |
это | 9 | 0.45 % |
что | 8 | 0.40 % |
Сен | 8 | 0.40 % |
расшифровать | 8 | 0.40 % |
код | 8 | 0.40 % |
я | 6 | 0.30 % |
Поиск | 6 | 0.30 % |
Симпатии | 6 | 0.30 % |
по | 5 | 0.25 % |
Разработчик | 5 | 0.25 % |
все | 5 | 0.25 % |
Dragokas | 5 | 0.25 % |
Сообщения | 5 | 0.25 % |
SEO Keywords (Two Word)
Keyword | Occurrence | Density |
---|---|---|
Сен 2018 | 8 | 0.40 % |
21 Сен | 8 | 0.40 % |
как раз | 4 | 0.20 % |
11 Июл | 4 | 0.20 % |
Июл 2014 | 4 | 0.20 % |
Симпатии 5698 | 3 | 0.15 % |
в этой | 3 | 0.15 % |
Dragokas Very | 3 | 0.15 % |
Very kind | 3 | 0.15 % |
kind Developer | 3 | 0.15 % |
5834 Симпатии | 3 | 0.15 % |
Команда форума | 3 | 0.15 % |
форума СуперМодератор | 3 | 0.15 % |
СуперМодератор Разработчик | 3 | 0.15 % |
Разработчик Клуб | 3 | 0.15 % |
Клуб переводчиков | 3 | 0.15 % |
Сообщения 5834 | 3 | 0.15 % |
Новые сообщения | 3 | 0.15 % |
Developer Команда | 3 | 0.15 % |
нажмите ENTER | 2 | 0.10 % |
SEO Keywords (Three Word)
Keyword | Occurrence | Density | Possible Spam |
---|---|---|---|
21 Сен 2018 | 8 | 0.40 % | No |
11 Июл 2014 | 4 | 0.20 % | No |
5834 Симпатии 5698 | 3 | 0.15 % | No |
kind Developer Команда | 3 | 0.15 % | No |
Сообщения 5834 Симпатии | 3 | 0.15 % | No |
Разработчик Клуб переводчиков | 3 | 0.15 % | No |
СуперМодератор Разработчик Клуб | 3 | 0.15 % | No |
форума СуперМодератор Разработчик | 3 | 0.15 % | No |
Команда форума СуперМодератор | 3 | 0.15 % | No |
Developer Команда форума | 3 | 0.15 % | No |
Very kind Developer | 3 | 0.15 % | No |
Dragokas Very kind | 3 | 0.15 % | No |
M Moxito Разработчик | 2 | 0.10 % | No |
Set BS = | 2 | 0.10 % | No |
с типовыми зловредами | 2 | 0.10 % | No |
Борьба с типовыми | 2 | 0.10 % | No |
безопасности Борьба с | 2 | 0.10 % | No |
Июл 2014 1 | 2 | 0.10 % | No |
информационной безопасности Борьба | 2 | 0.10 % | No |
описывается как расшифровать | 2 | 0.10 % | No |
SEO Keywords (Four Word)
Keyword | Occurrence | Density | Possible Spam |
---|---|---|---|
СуперМодератор Разработчик Клуб переводчиков | 3 | 0.15 % | No |
Dragokas Very kind Developer | 3 | 0.15 % | No |
Very kind Developer Команда | 3 | 0.15 % | No |
kind Developer Команда форума | 3 | 0.15 % | No |
Developer Команда форума СуперМодератор | 3 | 0.15 % | No |
Команда форума СуперМодератор Разработчик | 3 | 0.15 % | No |
форума СуперМодератор Разработчик Клуб | 3 | 0.15 % | No |
Сообщения 5834 Симпатии 5698 | 3 | 0.15 % | No |
Разработчик 21 Сен 2018 | 2 | 0.10 % | No |
21 Сен 2018 5 | 2 | 0.10 % | No |
Симпатии 7 21 Сен | 2 | 0.10 % | No |
Форумы Основы информационной безопасности | 2 | 0.10 % | No |
Сообщения 107 Симпатии 7 | 2 | 0.10 % | No |
21 Сен 2018 2 | 2 | 0.10 % | No |
21 Сен 2018 4 | 2 | 0.10 % | No |
11 Июл 2014 1 | 2 | 0.10 % | No |
Moxito Разработчик 21 Сен | 2 | 0.10 % | No |
M Moxito Разработчик 21 | 2 | 0.10 % | No |
Разработчик Клуб переводчиков 21 | 2 | 0.10 % | No |
Борьба с типовыми зловредами | 2 | 0.10 % | No |
Internal links in - safezone.cc
Новые сообщения | Форум по информационной безопасности
Поиск тем и сообщений | Форум по информационной безопасности
Что нового? | Форум по информационной безопасности
Ресурсы | Форум по информационной безопасности
Последние рецензии | Форум по информационной безопасности
Поиск ресурсов | Форум по информационной безопасности
Помощь проекту | Форум по информационной безопасности
Вход | Форум по информационной безопасности
Регистрация | Форум по информационной безопасности
Поиск | Форум по информационной безопасности
Помощь пользователям | Форум по информационной безопасности
Удаление компьютерных вирусов | Форум по информационной безопасности
Правила оформления запроса о помощи | Форум по информационной безопасности
В работе - Торможение работы | Форум по информационной безопасности
Вход | Форум по информационной безопасности
Помощь в расшифровке файлов | Форум по информационной безопасности
Правила оформления запроса на расшифровку файлов | Форум по информационной безопасности
Закрыто - trojan.Win32.Yakes.xbhn - расшифровка данных | Форум по информационной безопасности
Вход | Форум по информационной безопасности
FAQ по утилитам лечения | Форум по информационной безопасности
Прочий FAQ | Форум по информационной безопасности
Резервное копирование и восстановление системного реестра | Форум по информационной безопасности
Основы информационной безопасности | Форум по информационной безопасности
Общая сетевая безопасность | Форум по информационной безопасности
Не отправляется файл в вирлаб MS | Форум по информационной безопасности
Вход | Форум по информационной безопасности
Мошенники и мошенничество | Форум по информационной безопасности
Почему не следует использовать программу Spyhunter | Форум по информационной безопасности
Кирилл | Форум по информационной безопасности
Борьба с типовыми зловредами | Форум по информационной безопасности
Вирусы-шифровальщики | Форум по информационной безопасности
Как снять шифрование тела VBscript | Форум по информационной безопасности
Dragokas | Форум по информационной безопасности
Антивирусные продукты и прочие инструменты защиты | Форум по информационной безопасности
Kaspersky | Форум по информационной безопасности
Nano Antivirus | Форум по информационной безопасности
Avast! | Форум по информационной безопасности
Dr.Web® | Форум по информационной безопасности
ESET Software | Форум по информационной безопасности
Прочие инструменты защиты компьютера | Форум по информационной безопасности
Антируткиты | Форум по информационной безопасности
Universal Virus Sniffer (uVS) | Страница 21 | Форум по информационной безопасности
Программирование | Форум по информационной безопасности
Пакетные файлы CMD, BAT | Форум по информационной безопасности
FAQ по Пакетным файлам CMD/BAT | Форум по информационной безопасности
Перемещение файлов по папкам | Форум по информационной безопасности
Вход | Форум по информационной безопасности
Visual Basic 6 / Сценарии VBScript, JScript | Форум по информационной безопасности
Макросы Word, Excel (VBA) | Форум по информационной безопасности
Банк полезных кодов | Форум по информационной безопасности
Изучение основ языка | Форум по информационной безопасности
Как настроить скроллинг в редакторе Visual Basic 6 | Форум по информационной безопасности
Другие языки программирования | Форум по информационной безопасности
Задача по разработку сайта. | Форум по информационной безопасности
wumbo12 | Форум по информационной безопасности
Наши разработки | Форум по информационной безопасности
Разработка и тестирование | Форум по информационной безопасности
[C]heck [S]ystem [T]roubles | Страница 5 | Форум по информационной безопасности
Вход | Форум по информационной безопасности
Железо. Выбор и решение проблем | Форум по информационной безопасности
Решение проблем с железом и подбор драйверов. | Форум по информационной безопасности
Жёсткие диски | Форум по информационной безопасности
Проблема с флешкой | Форум по информационной безопасности
Constant | Форум по информационной безопасности
Помощь в подборе комплектующих | Форум по информационной безопасности
Помощь в выборе комплектующих | Форум по информационной безопасности
Помощь в выборе периферии | Форум по информационной безопасности
Помощь в подборе системных блоковапгрейд | Форум по информационной безопасности
Помощь в выборе мобильных устройств | Форум по информационной безопасности
Подбор дополнительной оперативной памяти | Форум по информационной безопасности
Вход | Форум по информационной безопасности
Операционные системы | Форум по информационной безопасности
Microsoft Windows | Форум по информационной безопасности
FAQ по Microsoft Windows | Форум по информационной безопасности
Microsoft Windows 10 | Форум по информационной безопасности
Microsoft Windows 8 / 8.1 | Форум по информационной безопасности
Microsoft Windows 7 | Форум по информационной безопасности
Microsoft Vista | Форум по информационной безопасности
Microsoft Windows XP | Форум по информационной безопасности
В работе - Проблема с службой Клиент групповой политики | Форум по информационной безопасности
Android | Форум по информационной безопасности
FAQ по разделу | Форум по информационной безопасности
Безопасность | Форум по информационной безопасности
MIUI 10 — первый взгляд на новую прошивку Xiaomi | Форум по информационной безопасности
Candellmans | Форум по информационной безопасности
Реестр Microsoft Windows | Форум по информационной безопасности
FAQ по работе с реестром | Форум по информационной безопасности
В работе - Как отличить скрытую учётную запись службы от обычной? | Форум по информационной безопасности
Устранение причин Blue Screen Of Death (BSOD) | Форум по информационной безопасности
Синий экран | Форум по информационной безопасности
Safezone.cc Spined HTML
Как снять шифрование тела VBscript | Форум по информационной безопасности Меню Форумы Новые сообщения Поиск сообщений Что нового? Новые сообщения Новые ресурсы Последняя активность Ресурсы Последние рецензии Поиск ресурсов Помощь форуму Блоги Вход Регистрация Что нового? Поиск Поиск Везде Темы Этот форум Эта тема Искать только в заголовках От: Поиск Расширенный поиск... Новые сообщения Поиск сообщений Меню Вход Регистрация Администрация SafeZone приветствует вас на нашем форуме! Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается. Форумы Основы информационной безопасности Борьба с типовыми зловредами JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере. Как снять шифрование тела VBscript Автор темы Dragokas Дата начала 11 Июл 2014 Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков 11 Июл 2014 #1 Сообщения 5,834 Симпатии 5,698 11 Июл 2014 #1 Привет ! В этой теме я покажу как не имея знаний в области языков IT расшифровать тело VBScript-a для получения возможности его дальнейшего анализа. Ремарка: Есть множество способов запутать код. Но способ, приведенный ниже - один из самых распространенных. 1. Для начала обзаведитесь чем-нибудь по приличней, чем блокнот Windows, например Notepad++ или AkelPad. Я буду, как всегда, работать в мод. версии AkelPad с особой темой подсветки. Все это только ради удобства и чтобы быстрее ориентироваться. 2. Запомните, с вирусами работаем только в виртуальной машине (например, Oracle VirtualBox или VMware Workstation) или песочнице (например, SandBoxie). Те же люди, кто не боится риска и у кого крепкие сами знаете что могут это делать вне виртуалки. Но ответственность за убытки в этом случае лежит только на Вас. Я например, как раз буду работать на своей основной системе, чего Вам не рекомендую. 3. Теперь скачиваем сам демо-вирус Чернобыль.rar. Пароль: virus Распаковка должна производится с отключенным антивирусом. (тем не менее данный демо-вирус по понятным причинам не детектируется ни одним антивирусом) ______________________________________ [article]Прелесть скриптов с шифрованным (кодированным) телом в том, что алгоритм и ключ к их дешифровке находится внутри них самих.[/article] А поэтому самый простой способ их расшифровать - запустить вирус. Еще не испугались? Значит именно это мы сейчас и будем делать Но сначала, залезем внутрь файла VBS. Правая кнопка мыши по файлу => Изменить. Что мы видим ? А ничего !!! Пусто ! Где же оно, спросил доктор Ватсон ? Не беспокойтесь, сударь, все предельно просто, ответил Холмс, и запустил свой AkelPad, указывая доктору на номер строки: Итак, что имеем перед глазами ? А вообщем, какая разница ? Мы же все равно ничего не понимаем в VBScript (по условиям этой статьи). Спойлер: Но здесь, служба безопасности форума, заставила меня отредактировать статью и все Вам рассказать. Вот эти белые буквы - djKFAFksZASakdsdakoincdCD - переменная, которую с целью запутать код переименовали во что-то непонятное. Называется - обфускация. Зеленым цветом в редакторе подсвечиваются все значения. Т.е. то, что имеет особую смысловую нагрузку. Здесь переменная = огромному куску непонятных символов. Вот это и есть основное тело скрипта. Оно зашифровано. Немного теории: Чтобы вирус мог выполнить зашифрованный код внутри себя, ему сначала требуется это тело расшифровать и либо: 1) куда-то распаковать; либо 2) запустить сразу на исполнение. Второй метод наиболее часто используют. За выполнение в памяти кода, сохраненного в переменной, отвечает команда execute а также executeglobal Откроем поиск в редакторе по нашему файлу Ctrl + F либо Правка -> Найти. и вводим фразу executeglobal Что видим? Оператор executeglobal, который выполняет код, находящийся в переменной HadcasZdsNCjVhaID Вот как раз, что хранится в этой переменной нам и нужно узнать, а еще лучше распечатать ее в файл. Давайте это сделаем. Но сначала обезопасим себя: - нужно изолировать эту расшифрованную часть вредоносного кода от выполнения на нашей машине. Для этого вставляем знак комментария ' (кавычка) перед командой executeglobal. Кто не знает: ' - знак кавычки находится под буквой "э", если переключиться на английский язык. Должно получится так: Теперь добавляем код, который распечатает нам исходник: 1) после строки: Код: 'executeglobal HadcasZdsNCjVhaID нажмите ENTER, чтобы отступить и вставьте такой кусок кода вызова функции печати: Код: Dim sCode: SCode = VirusCode Dim destFile: destFile = Left(WScript.ScriptFullName, len(WScript.ScriptFullName) - 4) & "_deobf.vbs" WriteStringToFile sCode, destFile Замените VirusCode на название переменной, которую хотите распечатать. В нашем случае это HadcasZdsNCjVhaID [article]Убедитесь поиском, что во вредоносном коде не используются наши переменные sCode и destFile. Иначе, их придется переименовать.[/article] 2) Теперь пролистайте код в самый конец, в конце строки нажмите ENTER и вставьте наши функции: VB.NET: Function WriteStringToFile(varStr, file) With CreateObject("ADODB.Stream") .Type = 1: .Open: .Position = 0 .Write StringToByteArray(varStr) .SaveToFile file, 2: .Close end with End function Function StringToByteArray(sText) Dim BS: Set BS = CreateObject("ADODB.Stream") BS.Type = 1 'adTypeBinary BS.Open Dim TS: Set TS = CreateObject("ADODB.Stream") With TS .Type = 2: .Open: .WriteText sText: .Position = 0: .CopyTo BS: .Close End With BS.Position = 0: StringToByteArray = BS.Read() BS.Close: Set BS = Nothing: Set TS = Nothing End Function 3) Сохраните файл с расширением VBS (если не меняли, оно так и есть). 4) Запустите этот модифицированный вирусный файл (можно прямо из редактора Akelpad - Ctrl + F5) Рядом будет создан одноименный файл с постфиксом _deobf.vbs Вот и наш расшифрованный партизан. _________________________________ Пару слов о безопасности: Конечно же, перед тем как запускать неизвестный код описанным способом, я просматриваю все команды распаковщика. Они не зашифрованы. Предмет моих поисков - любые вредоносные команды: - работа с сервером; - скачивание файлов; - модификация и удаление файлов. Если ничего этого нет, я могу спокойно выполнять этот скрипт, изолировав команду execute / executeglobal. В скриптах, которые усложнены обфускацией так сильно, что тяжело читать логику в целом, я сначала снимаю обфускацию и тоже делаю это вручную. Это довольно просто. Расскажу в следующей статье. Вложения h01dw.rar 3.1 KB Просмотры: 39 Последнее редактирование: 11 Июл 2014 Симпатии: Это понравилось Theriollaria, marni, tzrb и 7 другим M Moxito Разработчик 21 Сен 2018 #2 Сообщения 107 Симпатии 7 21 Сен 2018 #2 А расшифровать ту часть скрипта можно? Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков 21 Сен 2018 #3 Сообщения 5,834 Симпатии 5,698 21 Сен 2018 #3 @Moxito, в этой статье как раз и описывается как расшифровать. M Moxito Разработчик 21 Сен 2018 #4 Сообщения 107 Симпатии 7 21 Сен 2018 #4 Dragokas написал(а): @Moxito, в этой статье как раз и описывается как расшифровать. Нажмите для раскрытия... я имею ввиду каракули. Я понимаю, что это всё можно расшифровать и вывести, но можно ли просто расшифровать код (без вывода информации)? Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков 21 Сен 2018 #5 Сообщения 5,834 Симпатии 5,698 21 Сен 2018 #5 Извините, я вас не понимаю. Функция WriteStringToFile() - отвечает за сохранение строки в файл. Если вам не нужно, не выводите. Войдите или зарегистрируйтесь для ответа. Поделиться: Вконтакте Одноклассники Mail.ru Blogger Linkedin Liveinternet Livejournal Facebook Twitter Google+ Reddit Pinterest Tumblr WhatsApp Telegram Viber Электронная почта Ссылка Форумы Основы информационной безопасности Борьба с типовыми зловредами SafeZone Russian (RU) Обратная связь Условия и правила Политика конфиденциальности Помощь RSS Forum software by XenForo™ © 2010-2018 XenForo Ltd.Advanced Forum Stats by AddonFlare - Premium XF2 Addons Локализация от XenForo.Info На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь. Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie. Принять Узнать больше... Сверху Снизу