揭开网页木马的神秘面纱

现如今网络上流行着各种各样的网页木马攻击技术，并且还被很广泛的应用，相信没有接触过网页木马的朋友一定对这个技术很好奇吧！如果你想揪出藏在网页深处的木马，那么请看下面的网页木马全程揭秘吧！

1.准备工作

在制作网页木马前，我们需要先准备好自己的木马，这里以PcShare为例。打开PcShare，依次点击上方设置生成客户端选项，在弹出的被控制端执行程序参数，对话框里将自己本机的ip地址以及想要生成的服务端名称填入到相应的位置，其他的参数只需要保持默认就可以了，点击生成按钮选择和保存木马的路径，一款功能强大的木马服务端就生成了。把生成的服务端程序上传到自己的空间里。

2.生成网页木马

在这里我们会用到一款工具黑手刃2008免杀网马客户端程序，在弹出的软件生成器页面内勾选上漏洞选项栏内的所有选择框，这样生成的网页木马才能突破被选中的漏洞。接下来在地址栏里输入刚才的木马链接地址，选择生成网马的方式。这里提供了两种方式，一种是HTML网页形式，另一种是GIF图片格式，当然，如果对于新手朋友，我建议选择HTML网页形式，单击生成按钮后就会在当前目录内生成多个网页木马文件了。如果你对生成的网页木马文件有些不放心，还可以在本机使用各种杀毒软件，对生成的木马文件进行查杀，相信你得到的都是安全的普通文件，它的原理很简单，黑手刃对网页木马中的漏洞溢出代码进行了多次变化和加密，使得那些只按照特征码来查杀的杀毒软件，根本就无法检测到恶意代码的存在，从而保证了网页木马的安全。

那么网页木马是如何实现免杀的呢！我们使用记事本打开其中一个网页木马，以迅雷为例，在弹出的迅雷文本内，可以清楚的看到网页源码，竟然是一些非常奇怪的数字，而杀毒软件对于这些数字无法识别，根本判断不出来，他就是网页木马，如果我们将这些恶意代码插入到一个正常的网页里，那么就可以实现挂马的目的了。当然，这只能对有迅雷漏洞的电脑进行攻击，如果要想对所有漏洞都进行攻击，我们就需要将刚才生成的所有网页木马全部以记事本方式打开并复制里面的代码全部插入到一个正常的网页内。存在各种各样漏洞的电脑浏览该网页时就会受到攻击，我们之前配置的远程木马就会在他们的机器中运行，从而达到远程控制的目的。

3.解密网页木马

有加密自然就会有解密，由于网页木马是一段特殊的数字，所以通过杀毒软件检查时，很难发现其中的猫腻，我给大家介绍一下网页木马是如何进行加密的。同时还要告诉大家如何来解密这些网页木马。我们使用记事本再次打开刚才生成的迅雷网页木马，可以清楚的看到最下面的代码：t=eval(string.fromcharcode（+t+)

Document.write(t)

以上代码的含义是将JS加密部分赋值成t，然后利用document.write输出执行，了解以上代码的含义，我们对其进行解密也就变得容易多了，主要采用字符替换的方式就可以还原代码。这里将document.write改成alert然后保存文件，在使用IE浏览器打开该页就会显示出被加密前的真实不代码了。如果网页木马的代码比较多的话，弹出的对话框可能一下子不能显示完全，所以我们需要使用XMP，标签法来进行解密，具体代码如下：doucument.write(xep)+t</xmp>。

输入完毕后将其保存并重新刷新网页，此时网页的中间位置就会显示出真正的源代码，不过此代码被逆序不过还是很难看清楚的，还要将其继续解密，方法与之前相同。将网页中显示的所有代码复制到笔记本上，并且将他的明文代码更改，然后保存，在使用IE浏览器打开该页，就可以清楚地看到该网页木马的最终代码，不管以后遇到那种网页木马，利用此方法，你都可轻松地将其解密，从而使他不能再神秘下去。