网马解密技术指南：从基础知识到解密策略

"网马解密参考手册 网页挂马" 网马解密参考手册是一份关于网络安全的专业文档，作者glacier_lk在2009年编写，旨在帮助新手理解和分析网络上的恶意代码，特别是针对网页挂马的解密技术。随着国内网站挂马现象的急剧增加，这份手册的重要性日益凸显。手册中详述了常见的网马加密方法，并提供了实例，以帮助读者了解如何识别和处理这些威胁。 在手册中，作者首先提到CPU指令系统的等级概念，并将其与网页代码的等级特征相联系。网页代码大致分为三个等级：HTML标签、脚本代码（如JavaScript或VBScript）和数据。数据本身不具备执行权限，而脚本代码需要HTML标签的辅助才能被执行，HTML标签则可以直接被浏览器解释执行，因此处于最高级别。 网马（Web Malware）的加密通常是为了隐藏其真实意图。解密后的网马表现为普通的字符串，不能直接执行。为了使这些字符串能够运行，网马通常会利用像JavaScript的`eval`函数或`document.write`这样的机制，将字符串转化为可执行的脚本或HTML代码。`eval`函数可以将字符串作为JavaScript代码执行，但如果字符串中包含HTML标签，则无法执行。相反，`document.write`函数用于将字符串输出为HTML，只有当字符串内包含有效的HTML脚本标签时，脚本才会执行。 对于解密网马的方法，手册建议修改或禁用JavaScript和VBScript中的关键执行函数，如`eval`、`document.write`和`document.writeln`，以及VBScript的`Execute`函数，这样可以阻止网马的执行，从而揭示其原始内容。手册还提到了进制转换类加密，如二进制、八进制、十进制和十六进制的加密方式，这是早期较为常见的加密手段。 通过理解这些基础知识，网络安全专家和爱好者可以更好地识别和防御网页挂马，保护用户的系统免受恶意软件的侵害。这份手册为读者提供了一个基础但实用的框架，以便于深入研究和应对日益复杂的网络威胁。