鬼仔's Blog

鬼仔注：界面截图看这里 http://huaidan.org/wp-content/uploads/200801/FreShow.gif

作者：jimmyleo

有很多人问我一些脚本是如何解密的，是否有可用的工具。其实一切客户端的加密都是纸老虎（neeao），如果对于一些基本的脚本知识和潜在的解密函数有所了解的话，一切也就迎刃而解了，一切也就清晰可见了。所以我不希望他们盲目地满足于简单地按几下按钮，而是从一些基础了解起，这样最后再用到工具时，只是起到减少机械计算和验证的作用，也会有融会贯通的豁然。
一般会推荐大家看看这篇文章：
轻轻松松解密各种网页木马，由于网上多次辗转复制，原作者不详。可自行百度或google。

FreShow也是随着这个想法诞生的产物。从最初没有名字的一个网页元素筛选器，到逐渐有了几种算法的积累，到逐渐地有了雏型，最后到了有个工具的样子。见证了自己学习的过程，从一无所知的混沌到逐渐明晰的脚本，从黑不溜秋的控制台程序到友好的交互界面，一切的一切恍如昨日。一些算法和功能的实现过程中，不时会遇到一些拦路虎，也了解到自身的局限性，但是逐个击破他们的爽快感是没有什么可以比拟的，lovewei说这个大概就是传说中的成就感吧，我笑着默许，我希望一点一点的累积这种感觉，一步一步地走好每一步，对于未来我也依稀看到延展的那一条路。
公开FreShow，也是一直的想法。曾经论坛里见过一个签名，感触颇深：将一杯水倾倒，方能再行注满。我希望放下之前的成果，重拾好奇的包袱，探索新的领域。当然，也希望那些在战斗着的朋友们有个好帮手，帮助他们解放双手，有更多的时间来关注脚本本身。
同样的，网上已经存在着非常优秀的在线解密，值得推荐。
http://www.cha88.cn/ （7jdg）
http://monyer.cn/demo/monyerjs.html （Monyer）

FreShow采用VC编写，如果你希望和我共同完善它(代码、图标、教程)或者有好的建议和bug报告，可以给我邮件，jimi_pub〔at〕126〔dot〕com

最后，祝使用愉快，并向各路反病毒人士致敬。^_^

-主要功能-
网页元素筛选，例如iframe、script等。
混淆去除，例如“a”+“b”、空字符等。
字符替换，适合于部分自写函数。
转义符、网页标记转换。
ASCII字符转换，支持分隔符输入。
支持US-ASCII编码。
支持ALPHA2、Base64、Winwebmail加密算法。

Readme.txt

FreShow v1.42 RC
(c)Copyright 2008 jimmyleo
Website : http://www.jimmyleo.com/work/
合作站点：维莱实验室 http://www.velabs.cn/blog

本程序完全免费，可以任意传播，但请保留文件完整性和本说明文档。

『文件列表』
============
FreShow.exe – FreShow主程序
Readme.txt – 你现在正在阅读的说明文档

『安装说明』
============
解压缩即可使用。
执行FreShow.exe。

『软件说明』
============
FreShow为网页解密辅助工具。

『目前功能』
============
当前版本号 v1.42 RC

功能
基本的网页过滤和解密。

『关于作者』
============
jimmyleo 阿米

主页：http://www.jimmyleo.com/work/
电邮：[email protected]
pm： 卡饭论坛 bbs.kafan.cn
合作站点：维莱实验室 www.velabs.cn/blog

下载地址：http://www.jimmyleo.com/work/
MD5 ： 81020e2c8a2b52a4126ad57beb046c9d

English Instructions

FreShow is a tool for script decoding and filtering.

The top of the tool is the place to input the URL, and you can click the “Check” button to check it.

The Chaos area is the original untreated script.

The Fresh area is the treated script.

If the script has been encoded/composed for many times, you can click the “<<”button on the top of the right-hand. And it will transfer the content in the Fresh area to Chaos area for further issue.

<Filter function>
-Qeye- it can filter almost all the potential malicious links just like iframe, frameset, script, bodyonload, aniexploit, etc. All these will be added to the collection paddle. And its usability will be further developed in my future project.^_^

-FocusEXE- it can extract the link which may contain executable files instead of our naked eyes. It’s still a beta software so I am sorry that it may cause some problems because of the potential bugs.

-+=- it can connect the obscure form: “aaa”+”bbb” to aaabbb for example.

-NULs- it can delete all useless NULs and let the script fresh to see.

-Exchange- it can replace a with b and also be used in some own coding decoding function.

<Decode function>

-ESC- it can decode %,%u,\x,&# HTML entry form and so on and it is defined as ESC in my opinion .In addition \x form can be done under XOR. If you know the xor value, you can directly input it in the edit area attached to “ESC” button. Or you can use ExXOR to enumerate the XOR value. "hello" comes out when it matches.

-ASCII- it can decode "1, 2, 3" form. The separator can be changed.

-ALPHA 2- alpha 2 arithmetic is just used in the REALPLAYER exploit which is wildly spread these days. It turns script to \x form first. Because some of them use XOR.

-US-ASCII, BASE64 & winwebmail- are other three arithmetics.

Go hunting! ^_^

FreShow is written by VC. If you want to help me to perfect the tool (code, graphics, tutorials etc.), or you have some suggestion and bug reporting, you can contact me E-mail: jimmyleo[at]msn[dot]cn
My site: http://www.jimmyleo.com/work/
Cooperation site: http://www.velabs.cn/blog