瑞星卡卡安全论坛

解了100多个网马了，经常见到这种情况：

 附件: 您所在的用户组无法下载或查看附件


这种用var定义了一个变量，然后在随后的shellcode里会有这个变量的形式出现，是否能把这种定义的变量换成它真正的值，然后代入这段shellcode，可是每次我解这种马，都发现把所有的变量全部替换之后，根本解不出有用的东西，而往往网马都在下面的另外一句shellcode里面，请问老师，既然没有网马地址，那么为什么挂马者还煞费苦心的去定义这些变量呢？？？还是为了让缓冲区溢出而专门在内存里开辟这么一块变量空间？？还是这些变量后面的值比如kfcx="%u8936%u2444%u611C%uE8C3%uFB4F"+kfcooo+"FFFF";  的"%u8936%u2444%u611C%uE8C3%uFB4F"+kfcooo+"FFFF"; 仅仅是一个变量格式？而没有特别的意义？？
源码如下：



用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6

附件: 网马解密第四次题目.rar

网马地址就是在这段shellcode里啊 你看最后不组成了个sc么 b.jpg里面不久用到那个sc了么 所以我就把t，p全部加到一起了
变量替换可能是为了免杀吧 感觉这里比如kfcx一共就用到了一次 估计是那里免杀不过去了吧:kaka6: 
那个kfcooo替换了很多次 应该是有别的用途的吧 还请老师解答下 :kaka12:
还有 老师如果像雪图片里那样先进行一次esc解密再去除变量t的话可以得出正解么？

我认为也是可以得到解得吧~~  不知道%uXXXX是不是和/xXXXX是一一对应的函数关系，这还是要看16进制解密原理了，如果是一一对应的话，那么应该到这一步再替换也没问题的~~
主要是替换以后也没什么东西出现。。。而那个真正网马的地址却没有用任何一个变量，直接可以解出来~~~~

.......真的啊 刚发现 原来p就是网马地址 不知道shellcode怎么加密的 看网上都是编程实现的貌似跟位运算有关（貌似啊  不清楚:kaka6: ）
莫非网马的作者白痴了一把:kaka12:
要不就是可能是为了修改木马地址好改:kaka2:
或者网马是工具加密的:kaka2:

带%u的  shellcode  个人感觉是双重的16进制加密，不知道这样理解对不对

老师老师~~~~~快来看看呀~~~~~~~:kaka4:

恩~~~ 对，有可能是用来逃避查杀的~  不过现在一般的杀软都是能查到。

仅看16进制的代码看不出什么，ShellCode的作用不止是下载一个东西
http://bbs.ikaka.com/showtopic-8510447.aspx
也有些执行和修改注册表的动作。当你正确的替换完代码并使用工具调试后你就知道这些看起来无用的东西有什么用了

非常感谢师父！！:kaka9: