简介JS脚本病毒解密及相关分析方法

0x00 相关背景：        在最近，发现通过邮件发送加密后的js脚本病毒比较猖獗，身边刚好有一个同事在接收到的邮件中，单击链接后发现中了敲诈勒索木马，基本是大多数的文件被加密了，严重危害了用户的信息安全。0x01 JS脚本解密：        起初看到加密后的js脚本，无从下手，只是知道其下载了相关的敲诈木马程序并运行了；最终通过百度查找js解密相关，国内已经有了相关的文章（1秒破解 js packer 加密http://www.cnblogs.com/52cik/p/js-unpacker.html）。其主要是通过浏览器自带的开发者工具（F12），把加密的代码， 删除开头 eval 这4个字母，按回车就能得到我们需要的原脚本。因为分析的这个样本涉及到公司内部信息，这里就只是简单叙述一下，怎么去解密脚本，得到需要的原脚本。下图一是自己测试所得到的原脚本信息。

 0x02 分析样本相关        通过原js脚本获取可知，其是下载了一个exe文件，然后运行它。通过调试发现，其是又重新创建一个自身进程，然后向这个进程中写入完整的PE文件信息（核心功能），然后唤起线程后则会分别开几个线程来实现各种的功能。这里实现功能就不介绍了。这里就分析一下自己的调试分析所走的歪路吧。其一，本来想通过重新开启OD附加相同的子进程中，结果发现没有显示，最终宣告失败。其二，通过创建了一个notepad进行来替换其子进程，然后让其写入PE信息，最终在调试过程中一直宣告失败。最后就直接在远程写入pe信息时，直接在数据窗口找到PE头，然后复制完整个PE信息后点击“备份”--->“保存数据到文件”，则会直接dump下了我们所需要研究的那部分PE文件。然后就可以愉快的分析了。如下图所示：

 转载请注明文章转载自：http://youngs-rsr.blog.163.com/blog/static/2484320132015117115112136/#