关于网马解密讨论 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区关于网马解密讨论

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[问题/讨论] 关于网马解密讨论

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-03-02 08:53 \| 只看楼主短消息资料字号：小中大 1楼关于网马解密讨论解了100多个网马了，经常见到这种情况：附件: 您所在的用户组无法下载或查看附件这种用var定义了一个变量，然后在随后的shellcode里会有这个变量的形式出现，是否能把这种定义的变量换成它真正的值，然后代入这段shellcode，可是每次我解这种马，都发现把所有的变量全部替换之后，根本解不出有用的东西，而往往网马都在下面的另外一句shellcode里面，请问老师，既然没有网马地址，那么为什么挂马者还煞费苦心的去定义这些变量呢？？？还是为了让缓冲区溢出而专门在内存里开辟这么一块变量空间？？还是这些变量后面的值比如kfcx="%u8936%u2444%u611C%uE8C3%uFB4F"+kfcooo+"FFFF"; 的"%u8936%u2444%u611C%uE8C3%uFB4F"+kfcooo+"FFFF"; 仅仅是一个变量格式？而没有特别的意义？？源码如下：用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6 附件: 您所在的用户组无法下载或查看附件暗夜的雪最后编辑于 2010-03-02 09:56:41 娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	分享到：

完颜无泪快乐黄口狮帖子:195 注册: 2010-01-02 来自:	发表于： 2010-03-02 09:00 \| 短消息资料字号：小中大 2楼回复：关于网马解密讨论网马地址就是在这段shellcode里啊你看最后不组成了个sc么 b.jpg里面不久用到那个sc了么所以我就把t，p全部加到一起了变量替换可能是为了免杀吧感觉这里比如kfcx一共就用到了一次估计是那里免杀不过去了吧那个kfcooo替换了很多次应该是有别的用途的吧还请老师解答下还有老师如果像雪图片里那样先进行一次esc解密再去除变量t的话可以得出正解么？完颜无泪最后编辑于 2010-03-02 09:05:54
完颜无泪快乐黄口狮帖子:195 注册: 2010-01-02 来自:

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-03-02 09:08 \| 只看楼主短消息资料字号：小中大 3楼回复 2F 完颜无泪的帖子我认为也是可以得到解得吧~~ 不知道%uXXXX是不是和/xXXXX是一一对应的函数关系，这还是要看16进制解密原理了，如果是一一对应的话，那么应该到这一步再替换也没问题的~~ 主要是替换以后也没什么东西出现。。。而那个真正网马的地址却没有用任何一个变量，直接可以解出来~~~~ 暗夜的雪最后编辑于 2010-03-02 09:09:07 娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

完颜无泪快乐黄口狮帖子:195 注册: 2010-01-02 来自:	发表于： 2010-03-02 09:15 \| 短消息资料字号：小中大 4楼回复 3F 暗夜的雪的帖子 .......真的啊刚发现原来p就是网马地址不知道shellcode怎么加密的看网上都是编程实现的貌似跟位运算有关（貌似啊不清楚）莫非网马的作者白痴了一把要不就是可能是为了修改木马地址好改或者网马是工具加密的完颜无泪最后编辑于 2010-03-02 09:16:40
完颜无泪快乐黄口狮帖子:195 注册: 2010-01-02 来自:

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-03-02 09:23 \| 只看楼主短消息资料字号：小中大 5楼回复 4F 完颜无泪的帖子带%u的 shellcode 个人感觉是双重的16进制加密，不知道这样理解对不对娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-03-02 09:39 \| 只看楼主短消息资料字号：小中大 6楼回复：关于网马解密讨论老师老师~~~~~快来看看呀~~~~~~~ 娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-03-02 09:57 \| 只看楼主短消息资料字号：小中大 7楼回复：关于网马解密讨论恩~~~ 对，有可能是用来逃避查杀的~ 不过现在一般的杀软都是能查到。娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰	发表于： 2010-03-02 13:20 \| 短消息资料字号：小中大 8楼回复：关于网马解密讨论仅看16进制的代码看不出什么，ShellCode的作用不止是下载一个东西 http://bbs.ikaka.com/showtopic-8510447.aspx 也有些执行和修改注册表的动作。当你正确的替换完代码并使用工具调试后你就知道这些看起来无用的东西有什么用了 My Blog
是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-03-02 17:32 \| 只看楼主短消息资料字号：小中大 9楼回复 8F 是昔流芳的帖子非常感谢师父！！娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT