遺漏雜項：Minimum選項設(shè)置catch的字符串的最短長度，小于則丟棄

    PMSWalker不帶掃描器：

    http://code.google.com/p/pmswalker/downloads/list

    PMSWalker帶掃描器（病毒庫自行更新）：

    http://u.115.com/file/cln6264w

    scancl完整病毒庫更新地址

    http://dl.antivir.de/package/fusebundle/win32/int/vdf_fusebundle.zip

    PMSWalker要下載符號文件，初次啟動比較慢

    注意某些網(wǎng)馬Heap Spray太厲害請及時Abort終止其Heap Spray

    對你系統(tǒng)中IE的安全性沒有信心的話請在沙盤或虛擬機里運行PMSWalker

    8.9

    自動處理shellcode時模擬步數(shù)略微下調(diào)(原本過大沒有必要)

    掃描器換用新版本病毒庫

    8.10

    調(diào)整自動分析，可能長時間不會再更新，在反混淆方面PMSWalker已經(jīng)比以前的很多工具強不少了，要手動處理的應(yīng)該并不多，所以不要太依賴自動化，機器畢竟不如人

    談所謂“網(wǎng)馬解密”

   

    首先我認(rèn)為“網(wǎng)馬解密”這個詞不合適，本文一律改稱“網(wǎng)馬反混淆”，

自動化網(wǎng)馬分析工具PMSWalker（并談所謂“網(wǎng)馬解密”）WEB安全

。

    本文分為五部分：“網(wǎng)馬混淆”與“反混淆”、“靜態(tài)模擬”的反混淆方法、“動態(tài)鉤掛”的反混淆方法、有關(guān)“網(wǎng)馬解密”的文章、PMSWalker介紹。

    “網(wǎng)馬混淆”問題：網(wǎng)馬往往為了規(guī)避各種監(jiān)測而進(jìn)行“混淆”。我們看一個簡單的例子：

   

    經(jīng)過混淆的網(wǎng)馬都需要自解密，我們只需要關(guān)照eval、document.write等函數(shù)即可。這里我們可以使用最簡單的方法，如替換eval為document.write再替換document.write為alert或重定向到一個中。但聰明的網(wǎng)馬作者可以采用各種手段令上述方法無效，如eval.toString()判斷eval是否被篡改。當(dāng)然我們可以用腳本調(diào)試器（Microsoft Script. Editor、IE F12、Firebug等）等高級工具，但有時它們并不方便。

    “靜態(tài)模擬”的反混淆方法：不少工具使用了“靜態(tài)模擬”的反混淆方法，如MDecoder用正則表達(dá)式解析html、用v8引擎解析js，Malzilla用HTML Parser解析html、用SpiderMonkey引擎解析js（我以前的一個工具也是模仿的Malzilla），而Freshow等不帶腳本引擎的工具已經(jīng)顯得無用。然而上述工具都沒有實現(xiàn)DOM解析，Honeynet上有個叫做Phoneyc的項目實現(xiàn)了部分DOM解析并模擬了部分ActiveX插件，但實際效果很不理想。沒有DOM解析就帶來了很多問題，我們看一個例子：

   

   

   

    上述工具都沒有辦法正確解析http://www.baidu.com這個跨站，因為進(jìn)行DOM操作的js根本無法正確執(zhí)行，因此處理國外的幾大Exploit Kit非常困難，

電腦資料

《自動化網(wǎng)馬分析工具PMSWalker（并談所謂“網(wǎng)馬解密”）WEB安全》(http://www.msguai.com)。但“靜態(tài)模擬”也不是沒有優(yōu)點，至少它很安全。

    “動態(tài)鉤掛”的反混淆方法：“靜態(tài)模擬”完全實現(xiàn)DOM解析就等于實現(xiàn)一個瀏覽器，那工作量實在太大了。于是我們想到在瀏覽器上掛一些鉤子實現(xiàn)“反混淆”，這種方法實用方便。

    有關(guān)“網(wǎng)馬解密”的文章：兩個國外的Paper http://cansecwest.com/csw07/csw07-nazario.pdf和http:// www.toorcon.org/tcx/26_Chenette.pdf

很好的介紹了網(wǎng)馬反混淆。國內(nèi)也有不少關(guān)于“網(wǎng)馬解密”的文章，大多數(shù)都是教你使用工具，而這些工具只提供靜態(tài)的固定的幾種解密函數(shù)，直接忽略之。“網(wǎng)馬解密參考手冊”這篇文章寫得不錯，但其作者將網(wǎng)馬按加密類型分類，這點很不可取。網(wǎng)馬根本無法按加密類型分類，它可以低端到轉(zhuǎn)義字符，高端到AES，毫無定式。那篇文章還把Ucs2ToHexToAsc稱為shellcode加密，shellcode就是一段機器碼何來“shellcode加密”之說。所謂shellcode加密應(yīng)是shellcode經(jīng)過混淆并在執(zhí)行過程中自修改以規(guī)避檢測的手段。而大多數(shù)工具只是用xor密鑰枚舉提取某些shellcode所要下載的url，實際上是投機取巧。聰明的shellcode作者不會采用單一的xor密鑰加密，所以只有調(diào)試或模擬器模擬才是正確的shellcode解密方式。

    PMSWalker介紹：

    PMSWalker是使用“動態(tài)鉤掛”方法分析網(wǎng)馬的工具。PMSWalker的基本功能如下：

    Tree部分為frame與script樹，Catch部分為鉤掛到的敏感函數(shù)列表，Payload部分為自動提取的Payload列表。

    Setting部分為一些配置，Block為是否阻止window.open等彈窗，Reset為下次分析時是否清空之前分析的內(nèi)容，Scan為是否開啟自動分析。

    Load部分Load From Moniker為分析Url框中的地址（可以是本地地址如“C:\1.htm”，也可以是遠(yuǎn)程地址，http、ftp等協(xié)議均支持），Load From Stream為分析Stream框中的內(nèi)容（分析沒有Load From Moniker準(zhǔn)確）。

    Decode部分為相關(guān)雜項：Stream為輸入，Result為輸出。Abort（無參）為中斷分析，Alpha2（無參）不解釋，Base64（無參）不解釋，Convert（二參）編碼轉(zhuǎn)換默認(rèn)為us-ascii解密，DecToAsc（一參，為前分割符）十進(jìn)制轉(zhuǎn)ascii，Encode（無參）JS/VBS.Encode解密，EmuXor（一參，為前分割符）Xor枚舉，F(xiàn)ilter（一參，為Url）為過濾PayLoad中相同的Url，匹配長度以參數(shù)的長度為準(zhǔn)，F(xiàn)ind（一參）正則表達(dá)式查找Stream中的內(nèi)容，參考http://msdn.microsoft.com/en-us/library/1400241x(v=vs.85).aspx，HexToAsc（一參，為前分割符）十六進(jìn)制轉(zhuǎn)ascii，Insert（一參）為插入PayLoad，

Log（無參）提取日志，OctToAsc（一參，為前分割符）八進(jìn)制轉(zhuǎn)ascii，Replace（二參）正則表達(dá)式替換，Shellcode（二參，為前分割符和單步步數(shù)）為模擬器模擬Shellcode，Api為提取Api調(diào)用，Mem為提取執(zhí)行后的內(nèi)存內(nèi)容，Split（二參，為相隔字符數(shù)和分割符）為分割，Ucs2ToHex（二參，均為前分割符）默認(rèn)為%uXXXX轉(zhuǎn)\xXX\xXX，Unescape（無參）不解釋。注意Shellcode等功能只支持\xXX\xXX的形式，所以%uXXXX必須用Usc2ToHex再用Shellcode。

    自動分析說明：如果PMSWalker所在目錄有scan子目錄，且scan中為紅傘的命令行掃描器（scancl.exe及庫）PMSWalker會在自動分析時調(diào)用它進(jìn)行掃描，掃描結(jié)果在日志中[Scan Info]項下。

    安全聲明：PMSWalker使用IE引擎動態(tài)分析網(wǎng)馬，如果你的系統(tǒng)存在相應(yīng)漏洞，本人不承擔(dān)任何使用PMSWalker所產(chǎn)生的后果。