在分析病毒时,总会遇见各种各样的类型的样本,bat脚本病毒也非常常见,bat属于脚本语言,用文本查看器查看源码会一目了然,有很多人不希望让别人看到自己的源码,也就有了一些算是加密的方式
本次我要分享的就是利用字符集编码产生的加密方式的解密方法
拿到一个bat脚本,用notepad++打开发现都是乱码
挦獬敀档景൦䌊尺楗摮睯屳祓瑳浥㈳坜湩潤獷潐敷卲敨汬癜⸱尰潰敷獲敨汬攮數ⴠ硅捥瑵潩偮汯捩⁹祢慰獳ⴠ潮牰景汩眭湩潤獷祴敬栠摩敤丨睥伭橢捥⁴祓瑳浥丮瑥圮扥汃敩瑮⸩潄湷潬摡楆敬✨瑨灴⼺猯祫慭瑳㌲ⴱ〰ⴱ楳整⸱瑨浥異汲挮浯㐯獪Ⱗ┧单剅剐䙏䱉╅䅜灰慄慴㑜獪⤧※浣振✠唥䕓偒佒䥆䕌尥灁䑰瑡屡昴樮❳硅瑩
很多人可能一下子就懵了,明明能正常跑起来的bat脚本怎么是乱码,就不知道该如何分析下去了,其实对于这种情况解密很简单
1.我们把脚本后缀改为doc
2.使用word打开
3.选择MS-DOS文本编码
点击确定,源码一目了然