對通過「圖片」對本機目錄進行虛假映射的剖析

[psac]

對通過「圖片」對本機目錄進行虛假映射的剖析
--------------------------------------------------------------------------------

新增時間：2003-07-26
文章內容：原創
文章來源：Dahua Lee
網站位址: http://www.52157.com
文章提交：Dahua (dahua@52157.com)

--------------------------------------------------------------------------------

大家好，剛剛逛街回來，心情不錯！
習慣的開啟了自己的筆記型電腦，由於經常出差不在家，所以家裡的ADSL早就停了，只好聽聽熟悉的撥號音了，嘟.嘟..嘟...

經過正確的身份驗證我終於成功的以51K的速度上網了！

第一件事情不用說了，開打IE，去自己網站的論壇看看。

在看論壇的時候發現一個朋友發了一個URL，位址是 http://www.chinawill.net/hk/hk.jpg,�...��片」，慢

慢的魔電上網終於把hk.jpg拉了下來，哦，知道了，老東西了，好久以前我就遇到過這個東西， 當時別人還說讓我看看說是把我給黑了，我當時一

看嚇我一跳跳。
但是當時沒太留意，既然今天又一次看到了，那麼今天就為大家分析分析這個奇怪的「圖片」文件hk.jpg。

如果有人給你發這個位址，也告訴你說把你黑了，我可以告訴你，不用怕，如果你有肉雞或者身邊還有其他機器的話，只要你用其他機器也訪

問一下這個位址就可以知道了，他只是顯示了一下本機C碟而已。並不是只讀取你的，所以，既然不是只讀取你的，那麼所謂那個說黑了你的人

也就無法看到你的，即使他也訪問這個頁面，顯示的也無非是他自己的C碟了，就算他神通廣大黑了顯示的C碟，也黑的是他自己的！呵呵！

廢話不多說了，既然要分析，那麼我們就要先好好看看這個頁面！

習慣的直接在頁面上點了滑鼠右鍵，選項了「檢視原文件」，顯示的內容竟然是：

##############################################################################################

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>

<head>
<style>
a:link {font:9pt/12pt 細明體, MS Song; color:red}
a:visited {font:9pt/12pt 細明體, MS Song; color:#4e4e4e}
</style>
<meta HTTP-EQUIV="Content-Type" Content="text-html; charset=gb2312">
<title>HTTP 403 (禁止訪問)</title>
</head>
<script>
function Homepage(){

// in real bits, urls get returned to our script like this:
// res://shdocvw.dll/http_404.htm#http://www.DocURL.com/bar.htm

//For testing use DocURL = "res://shdocvw.dll/http_404.htm#https://www.microsoft.com/bar.htm"
DocURL=document.location.href;

//this is where the http or https will be, as found by searching for :// but skipping the res://
protocolIndex=DocURL.indexOf("://",4);

//this finds the ending slash for the domain server
serverIndex=DocURL.indexOf("/",protocolIndex + 3);

//for the href, we need a valid URL to the domain. We search for the # symbol to find the begining
//of the true URL, and add 1 to skip it - this is the BeginURL value. We use serverIndex as the end marker.
//urlresult=DocURL.substring(protocolIndex - 4,serverIndex);
BeginURL=DocURL.indexOf("#",1) + 1;
urlresult=DocURL.substring(BeginURL,serverIndex);
if (protocolIndex - BeginURL > 7)
urlresult=""

//for display, we need to skip after http://, and go to the next slash
displayresult=DocURL.substring(protocolIndex + 3 ,serverIndex);

// Security precaution: must filter out "urlResult" and "displayresult"
forbiddenChars = new RegExp("[<>\'\"]", "g"); // Global search/replace
urlresult = urlresult.replace(forbiddenChars, "");
displayresult = displayresult.replace(forbiddenChars, "");

document.write('<A target=_top HREF="' + urlresult + '">' + displayresult + "</a>");
}

function doSearch()
{
saOC.NavigateToDefaultSearch();
}

function initPage()
{
document.body.insertAdjacentHTML("afterBegin","<object id=saOC CLASSID='clsid:B45FF030-4447-11D2-85DE-00C04FA35C89'

HEIGHT=0 width=0></object>");
}

</script>


<body bgcolor="white" onload="initPage()">


<table width="400" cellpadding="3" cellspacing="5">
<tr>
<td id="tableProps" valign="top" align="left"><img id="pagerrorImg" SRC="pagerror.gif"
width="25" height="33"></td>
<td id="tableProps2" align="left" valign="middle" width="360"><h1 id="term1"
style="COLOR: black; FONT: 13pt/26pt 細明體, MS Song"><span id="errorText">您無權檢視該網頁</span></h1>
</td>
</tr>
<tr>
<td id="tablePropsWidth" width="400" colspan="2"><font id="LID1"
style="COLOR: black; FONT: 9pt/12pt 細明體, MS Song">您可能沒有權限用您提供的憑據檢視此目錄或網頁。</font></td>
</tr>
<tr>
<td id="tablePropsWidth" width="400" colspan="2"><font id="LID2"
style="COLOR: black; FONT: 9pt/12pt 細明體, MS Song"><hr color="#C0C0C0" noshade>
<p ID="term3"> 如果您確信能夠檢視該目錄或網頁，請嘗試使用<script> Homepage();</script>主頁上所列的電子郵件位址或電話與網

站聯繫。</p>
<p id="term4">可以按下<a href="javascript:doSearch()"><img border=0 src="search.gif" width="16" height="16"

alt="search.gif (114 字元)" align="center">搜尋</a>，尋找 Internet 上的信息。</p>
<p><br>
</p>
<h2 id="errortextcode" style="font:9pt/12pt 細明體, MS Song; color:black">HTTP 錯誤 403 - 禁止訪問 <BR>
Internet Explorer </h2>
</font></td>
</tr>
</table>
</body>
</html>

###########################################################################################

不用說了吧，上面的中文已經說明了這個程式碼明明是錯誤頁面「HTTP 錯誤 403 - 禁止訪問」的程式碼！

既然頁面的程式碼正常，那麼很明顯，問題一定出在這個hk.jpg上，複製了一下位址，用我的小車把這個奇怪的hk.jpg拉了下來，還好文件不大

，很快就下載下來了。

拉下來以後，什麼也沒多考慮，直接就去開啟這個文件，你可以很清楚的看到這個圖片文件什麼圖片都不是，沒有任何顯示，那麼更可以證明

問題一定是出在這個所謂的圖片文件上了。

我們用寫字板或UltraEdit將這個文件開啟，顯示結果如下:

###########################################################################################

<html>
<head>
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>IHackedYou－－－－－『華中鷹派』http://cn8341.126.com</title>
</head>
<script language = JScript.Encode>#@~^9wUAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;/1DrwOY22Y!GY!z]f/u

FRRu!9]Z)9W^!:xYchMrY]+%!xnd1lwY R] yY+*2Zkm.k2Ou X&AY l!9Yy*!)Yy*fZu+l q Ou *Zfu+*Zb[W1Ehn YRS.kD+]yX+%!x/^l2nu X RY l

+Yy* Xf;4GNHYy*+l Z4o1W^GDu X l&9Yy* l+ u *yX+&wswsosY+l X yY l X+ZY+aOu X lfG]+l l u l+*y&T!Z!TTu *yX y] l+X ZW

VGl[Yy*+*29]y*+Xy m.CaRdYHsR[b/aVlH]yX l&9]y*+XyG]yX l Gu+X l y]+*+Xy!GxsGEk+[GSx]+Xy*ffu+l Xy M+Y!D Y l X Z0Csk+]yX l

u+X l ZWU:G;k+hW7n]y*+X2f]+Xy*+ MnDE. ]y* l ZWl^/n]y*+Xy ]yX l !KU[DmokYCDOYy*+*29]y*+Xy DnO!DU]yXy*+Z0mV/]yX l +]y*+Xy!W

d+^+mu+X l&G]+*+Xy .+D;D ]+Xy* TWmVd+u+l Xy u *y*yTW /nVmOdDlDDY l *29Y l l +DnO!DU]yX l TWmV/nYy*+*y+u

Xy*y!/DX^n]y*+*2fY+l *y{W7+D6sGhu l X&)4bN[+ Y l X+F] X+l&3]yXy*TG]y* l!zY l X&;Nr-u *yX ZkNu+X l&G]+*+Xy ^Dm2]y*+Xy

]+Xy*+!kOHVnu l *2fu+*y*+G9kd2^lXu+*y*&zUGx]y*+*+{u X lf2u X+l!fY+l X!zYy*+l&;k:T]yX l T/MmY+l *29]y* l++k4l13nNzG!R%wTY l

X+y] X+l Thb[DtYy*y*&G]yX l +vWGY+l *y+]y* l+TtkTtO]+Xy*ffu+*y*++l*&Y+l X yYy*+l&A] l lTfu X l!)Yy* lfZ9k\u+X l Z/OXsnu X

lffu X+l GAr9Y4]yXy*fz*y!]y*yX&~tnkTtOYy* lfb2%!u+X l&~wG/rObWU]yX l&)C(/Ws;D+Y l+l&$^+6Y]y*yX&zFq%u X+l&ADGwu

*yXfb8GZ]+*+XyGY l+*22Y+l *T9u X lTz]+l l&Zb0MC:]+*y*+TkDmu+*y*&GY+*y*y ^]+Xy*fbu+*y*X/u *+Xy Y l+l TSk9Ytu l+*2fY l X+y* ZY

l *y+Y l l TtnrTtO]yX l&9Yy* X+y&0!u+l Xy u *y*yT/DXs+u X+l&fu+*y* y"Rq N6Y X+l&)Fu+*y*++u *+X22Y l+l&/Jk6Dls+u+*y*f2u

X+l!fu+*y*!zY+*y*2Z&Nr-u X lf2u X+y] X+O]+*y1u X2Au *Zfu+*Zb&z OY+l&2u+*Zf]yXTbu l&/zd^Mk2Yu+*22Y+y] 1Yy,Y&~YZfYZbJzO

]23]ZfY!z]f/J/mMrwD]&AEb#p@#@&z&OR@*@#@&TYABAA==^#~@</script>
<script language = JScript.Encode>#@~^yAAAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;Nb\Y Tr9]ffu+G4+4nu

GY+Z/OX^nu&9u F0W Y WlsksXu&)\U] Zjl /]yTj+Mk6]fAWG

YR/b"+u&)qlw6Yf~wG/bObWUu&zl4kW^;Y]fADW2Y2b*+26u&A^nWYu&zFX*2au {]23J*#I@#@&zzRR@*@#@&YzgAAA==^#~@</script><script language

= JScript.Encode>#@~^BAEAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;/1DrwOY22Y!GY!z]f/u

FRRu!9]Z)9W^!:xYchMrY]+%!xnd1lwY R] yY+*2Zkm.k2Ou X ZdD1]+X2f]+Xy 4YD2u X2bJzNOw9 *8RU+Dz^LbO4bUzbwzb2qR1ob]+*++u X&AY

l&/&kmDr2D]+*23u +u O] O]2$]ZfY!zz&R ]&AY!G]!zYfZJ/1DrwOY22E#*I@#@&z&R @*@#@&A0QAAA==^#~@</script></div>
</div>
<script language = JScript.Encode>#@~^JgQAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;/1DrwOY22Y!GY!z]f/u

FRRu!9]Z)9W^!:xYchMrY]+%!xnd1lwY R] yY+*2Z9k-]+Xy!rNu+*2fY+l hG!/n]yXy Yy*y!/DX^n]y*ffu

X+FwWkrYbWxu+X&zl(/GV;O]+*2$YKwY+l&bTYy*fA^n6YYy*2b!u lfA4+ro4YY+l&b2Y l&ASr[Y4]y*fbqYy*fA.Rq Nnau *f)8!T!ZTu X2AK\+M0^Ghu

X&ztr[9+xu+*yG]yXf2u l&/kW.m:n]yX Z/.^u *f9u X F[Ow[c*8RxYc4Ys]+*yGY+l !SrNDt]yXff8!Z]+*+T4+ro4O]y*f98!!Y+l T0MCs+8KD9+Du

lffZ]+*y!d^MWV^rxT] lf9xK]y*f2Y+l&/zbWDm:nYy*&3Yy*fZJ[b\Yy*22]y*Z9]y*Tbu Xf;Nk7Y l !b[Y l&G]+*++!wY l+ u X+ZWx.nkk"+u+l&9u l

1]yX R]+*y,Y+l u+*22]yXfZJNb\Y XfA]+*Z9]y*T)u *f/km.kaOu Xy!^lxTEmL+u X&G]+Xy Lm-lkmDb2O]y*y Y XfA]+*Z9]y*T)u

*T16EUmDrKxYy*y!mu l+%u X O]+XFA]yX!G] lT)]y*Z,Y XTO:GEknRkYzsRVnWD]+*yTu X2fu *y!-+ Y 6 Y+l!fu+*Zb]yXT,u l!1:G;k+

/DzVROGa] X+Z]+*29u Xy!\+ YczO2]+*ZfY+l!bu+*Z,]yX{fu l!9]+XZbY lT,k+O( Y+.-mVY l+R]+l

yEwc/DzVRAk9Y4Yy*&G\lDtRMG;x9]y*+%\CDt DmUNK:Y+l %Y+l 1e8Tu Xy,u *y u+*yZq]y*+1u *Z9]y*!zY+*2ZJ/^Dr2D]+*23]y*T9u *T)u

X&;&(W[H]y*&A]yX!G]+*ZbY+l&ZJ4YsV]yXf2u y]+,Y+O]fAuTfu!)&JOOYfA]TfuTz]f;zkmDbwDY&AJb#p@#@&&JOO@*@#@&txYBAA==^#~@</script>

###########################################################################################

現在看明白了吧，看到開頭的<html>就知道了吧，這絕對不是標準的圖片文件。

但是看到<script language = JScript.Encode>之前還可以，後面就看的有點迷糊了，有經驗的朋友應該可以看出來以後的程式碼很多都是經過

加密的，而且經過我的多次實驗後，最後證明了，這些程式碼不僅僅是經過加密，而且是經過了多次加密後的結果。所以大家即使現在看不明白

也是很正常的！

下面我們開始對這些程式碼進行解密，對網頁文件加密的工具很多，有經驗的朋友可以知道<script language = JScript.Encode>做引用的一般

都是ASP加密，所以我使用了一個Microsoft自己的加密工具DecodeScripting_Pro.exe,大家可以去

http://www.52157.com/showsoft.asp?soft_id=159 進行下在！

經過DecodeScripting_Pro對加密的程式碼進行解密後，可還是無法看到標準的文件程式碼，那麼，說明還需要進行再次的解密。

但是現在的程式碼和開始的程式碼加密形式明顯不同，而且使用DecodeScripting_Pro再次解密也沒有效果了，所以我們要換一個解密方法。

又用到經驗了，呵呵，經驗很重要的，一定要多瞭解一些知識哦！呵呵！

經驗豐富的朋友一看到加密程式碼開頭的引用使用的是「document.write(unescape("%」這樣的格式，就應該知道了這種加密方法是很多網站都

在線直接提供的網頁加密技術加密後的結果！

所以，我們現在就動身去找一個可以在線機密HTML文件而且還同時支持解密的網站（其實現在在線支持HTML加密的的網站都同時支持瞭解密，

呵呵！所以隨便找一個基本都帶解密功能。除非你「幸運」，遇到了一個沒有的，呵呵！要是真遇到了，記得立刻再說7個1到36的數字哦，買

彩票一定種，呵呵！）

好像我的廢話又說多了，呵呵！

現在如果有朋友按照我說的步驟正在一步一步的解密的話，一定現在很著急，因為他們發覺，即使用在線的HTML加密網站進行程式碼解密，可是

還是無法顯示真正的HTML程式碼，還是加密形式的。不用著急，你們距離成功就只差再多點幾下滑鼠了，其實這些程式碼用在先的HTML加密工具加

密了好幾次，我記得大概是3次，只要你在解密的按鈕上再多點上那麼幾次，你就可以順利的看到真正的HTML程式碼了，也就是可以順利的對加密

的文件成功的解密了！

下面就是成功解密以後的文件程式碼了，提供給大家參考！

程式碼：

###########################################################################################

<html>
<head>
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>IHackedYou－－－－－『華中鷹派』http://cn8341.126.com</title>
</head>
<body bgcolor="#FFFFFF" text="#000000" onload="crap.style.display=''" onmousedown="return false" onmousemove="return false"

ondragstart="return false" onselec="return false" onselectstart="return false" style='overflow:hidden'>
<div id="crap" style='display:none'>
<img src="ihackedyou.jpg" width="647" height="553">
<div style='width:520;height:380;position:absolute;left:118;top:170'>
<iframe src="c:\" width="520" height="380" style="z-Index:1"></iframe>
</div>


<div id='hehe' style='font-family:MS Sans Serif;font-size:15px;position:absolute;top:56px;left:155px'>


<script src="http://d9pd.51.net/cgi-bin/ip/ip1.cgi"></script>

</div>
</div>
<div id="mouse" style='position:absolute;top:0;left:0;height:3;width:1;z-Index:100000;overflow:hidden'><iframe

src='d9pd.51.net.htm' width=100 height=100 frameborder=0 scrolling=no></iframe></div>
<div id="up" onresize="c()"></div>
<script language="javascript">
function c(){
mouse.style.left = event.x-2
mouse.style.top = event.y-3
}
setInterval("up.style.width=Math.round(Math.random()*10)",1)
</script>
</body>
</html>

###########################################################################################

怎麼樣，看到了吧！呵呵！

其實，只要熟悉HTML的朋友看了這些程式碼就明白了，實際上只是簡單的使用了<iframe src="c:\" width="520" height="380"

style="z-Index:1"></iframe>對C碟進行的使用。IP位址的顯示則是用了<script src="http://d9pd.51.net/cgi-bin/ip/ip1.cgi"></script>

這段程式碼來實現的。那個類似軟體GUI的效果不過就是一張圖片而已，ihackedyou.jpg就是這個圖片了，這個可是真的圖片了，呵呵！

看了這個HTML以後，實際上HTML的寫發上並沒有什麼特殊的地方，只是思路用的很特別，給人造成了一個視覺誤區。

對了，說點題外話，嘿嘿！

我剛剛喝了一點羊奶，並且聽說羊奶要比牛奶好，我去研究一下為什麼羊奶要比牛奶好，呵呵！多學習有好處的，呵呵！

最後，希望大家喜歡我寫的剖析，有問題可以去我的網站或我的論壇與我交流。

我的網站：Http://www.52157.com
我的論壇:Http://www.52157.com/cgi-bin/leoboard.cgi




來源: www.52157.com