123   2  /  3  页   跳转

[教程] 解密中容易忽略网马类型

回复:解密中容易忽略网马类型

再请教,这个是什么加密方式呢?解密的话,只把空格过滤掉就OK了。
我测试了下,给网马代码添加多一个空格,网马就不能顺利执行了.也就是说,通过一种加密方式给网马进行加密的。这种加密方式是什么呢?
gototop
 

回复: 解密中容易忽略网马类型

freshow好像是用Inet方式读取,所以读取不出来,下面是一位大牛说的话


Inet好像是那啥啥封装出来的 按照ANSIC的规则遇到\0的话会自动中断读取 WinHTTP据说是根据返回的Contentlength读取字节 所以遇到上面那种带\0的不会中断


最后编辑250662772 最后编辑于 2009-06-05 17:16:25
gototop
 

回复: 解密中容易忽略网马类型



引用:
原帖由 无敌vip 于 2009-6-5 15:54:00 发表
再请教,这个是什么加密方式呢?解密的话,只把空格过滤掉就OK了。
我测试了下,给网马代码添加多一个空格,网马就不能顺利执行了.也就是说,通过一种加密方式给网马进行加密的。这种加密方式是什么呢?  

加密方式就是加入了空字符,我自己加密了一个,应该一样的吧

附件附件:

文件名:250662772.rar
下载次数:287
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-5 17:40:29
描述:rar

gototop
 

回复 13F 250662772 的帖子

了解咯,呵呵

这文件你是怎样加密的?用什么工具加密?在线加密吗?
gototop
 

回复: 解密中容易忽略网马类型



引用:
原帖由 networkedition 于 2009-6-5 10:43:00 发表
上述代码为已处理好的sfbf.css源文件内容,接下来简单分析一下,我们看到这个源代码中有很多b78,类似这种形式:b78xxxxb78,开头和结尾都是b78,中间是4位数字或字母的组合。和shellcode特征很相像,shellcode是以%u来作为分隔的,ok,我们来将代码处理一下。将b78替换为%u,这个源代码就变成了一个标准shellcode。

[attachimg]526147[/




6楼分析b78代码的最好解释看下图



教人方法,看明白代码才行啊
最后编辑艾玛 最后编辑于 2009-06-06 09:56:22
gototop
 

回复: 解密中容易忽略网马类型



引用:
原帖由 250662772 于 2009-6-5 17:15:00 发表
freshow好像是用Inet方式读取,所以读取不出来,下面是一位大牛说的话


Inet好像是那啥啥封装出来的 按照ANSIC的规则遇到\0的话会自动中断读取 WinHTTP据说是根据返回的Contentlength读取字节 所以遇到上面那种带\0的不会中断



Inet指的是InternetReadFile?
InternetReadFile跟本地的ReadFile一样并没有识别读到的内容中的字符,因此并不会受到\0的影响。
其实MDecoder就是用InternetReadFile读取源文件内容的。
\0字符的影响不在于用InternetReadFile读取的过程,而在于用SetWindowsText显示的过程,在这个过程中把缓冲区中的源文件内容当成字符串,这才会被截断。
看MDecoder源码你就很清楚了,在循环InternetReadFile获取源文件后,必须先调用_ReplaceNULL函数(这个是MDecoder作者自己写的)将\0字符给改成空格,然后才调用SetWindowsText显示。

至于Freshow的过程,应该是类似这样的:
CString str1与RichEdit对象关联,InternetReadFile把原文件内容写入另一块缓冲区,然后用=赋值操作直接给CString对象赋值,这时就会被截断。
最后编辑轩辕小聪 最后编辑于 2009-06-06 15:30:54
病毒样本请发到可疑文件交流区
gototop
 

回复 16F 轩辕小聪 的帖子

是SetWindowText吧?MDecoder用汇编写的。。。很头大
gototop
 

回复:解密中容易忽略网马类型

用decoder的winhttp模式也可以看到
gototop
 

回复:解密中容易忽略网马类型

学习了  老师就是高啊  膜拜膜拜
gototop
 

回复:解密中容易忽略网马类型

赶来学习,老师的讲解深入浅出,学生很受启发,以后还得多加锻炼
gototop
 
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT