瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 再谈flash网马解密
networkedition - 2009-6-10 9:29:00
今天我们再来讲解一下swf网马解密,大家可能会有些疑惑,swf网马解密不就是通过查看源文件内容,或通过redoce工具来进行解密嘛?今天讲解的这个swf网马需要另一个工具来进行解密,SWFDecompiler这个工具,简单介绍一下这个工具,其实就是将swf反编译为fla文件。在这里就不提供工具下载,大家可以百度或google一下。

    flash网马下载地址:http://sfgfdhg33.3322.org/a/i47.swf(注:此swf文件含有恶意程序,切勿下载后运行,否则会导致系统中招)

    我们首先尝试使用记事本方式打开这个swf文件,查看源文件内容,详见下列截图:


 

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition - 2009-6-10 9:50:00
我们看到源文件内容都是些乱码,没有我们需要的东西,下面使用redoce工具来尝试解密。

networkedition - 2009-6-10 9:59:00
我们点击解压(CWS)会弹出一个对话框,在这里我们点击否不继续进行解压,详见下列截图:




下面讲解使用swfdecompiler工具来解密:

networkedition - 2009-6-10 10:05:00
通过快速打开资源管理器定位到swf文件的保存文件夹,此时该文件夹下的swf文件会显示在左下角,点击我们要解密的swf文件,在右上角的资源里会自动将此swf文件分解。接下来点击导出fla按钮,详见截图:


networkedition - 2009-6-10 10:10:00
首先要设置一个导出的fla存放路径及文件名,选择导出fla文件版本,选择自动使用适当的fla版本,成功导出fla之后,我们选择什么都不做。点击确定后,在设置fla路径会生成一个fla文件。


networkedition - 2009-6-10 10:13:00
使用记事本方式打开导出的fla文件,我们看到fla文件里显示出网马下载地址,详见下列截图:


小生畅谈 - 2009-6-10 10:56:00
在次学习···:kaka12:
zonc - 2009-6-10 13:39:00
支持  学习了
盛小茂 - 2009-6-10 16:32:00
该用户帖子内容已被屏蔽
xiaoqiang305 - 2009-6-10 17:35:00
又学了一招  谢谢~
_______vick - 2009-6-12 12:56:00
很好,很强大! 请问下,这个是在Flash 的  as 里面添加的代码,让用户打开这个flash就自动下载这个网马吗?
石卡儿 - 2009-6-13 12:46:00
学习楼主
淩乱德心情↘ - 2009-6-13 16:08:00
现在的网马 真是厉害
江南小安 - 2009-6-19 17:22:00
以前听说flash文件是安全的,现在看来难说了……
辛达星郁 - 2009-6-30 19:50:00
学习了  再次学习
:kaka12:    这个是最后一片看完的  晕了  接下来慢慢学习  研究  继续深造
1
查看完整版本: 再谈flash网马解密