瑞星卡卡安全论坛技术交流区恶意网站交流 9周年活动,第二关网马解密方法详解(一)

12   1  /  2  页   跳转

[教程] 9周年活动,第二关网马解密方法详解(一)

9周年活动,第二关网马解密方法详解(一)

在这里就讲解一下,解密的技巧吧。  首先,源代码中很乱,有很多的空格字符,实际上是终止符(00),需要整理一下源代码,提供一个快速代码的方法,使用winhex工具来进行替换,此方法由小聪大牛提供。
使用winhex工具打开要解密的代码,截图如下:
源代码在11楼有下载



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
最后编辑networkedition 最后编辑于 2010-03-31 14:05:02
分享到:
gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

上图中红色框标记出的就是终止符(00),需要将其进行替换。winhex工具点击搜寻下的替换十六进制数值,

参加下图设置:点击ok进行替换。





gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

替换完成后可以将代码另存为即可。

gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

分析一下整理后代码,里面有个document.write函数,由于代码太长,不建议使用将document.write替换为alert的方法(有截断代码现象),使用textarea这个文本区域的html标签,将代码执行后,执行结果在文本区域内显示出来。

最后编辑networkedition 最后编辑于 2010-03-31 12:55:41
gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

在整理好的代码头部和尾部分别添加如下代码:










完整代码见附件,直接打开附件里的网页,并允许执行被阻止的脚本或activex控件,可以看到执行后代码被输出值文本区域。textarea标签使用方法参考html教程,这里就不详细讲解了。

附件附件:

文件名:jf1.rar
下载次数:628
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-31 13:08:01
描述:rar

gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

执行结果详见下图:



ok,有我们非常熟悉的东西,unescape后面的一串是shellcode。接下来我们使用freshow或redoce工具来解密这段shellcode,发现无法解密出,使用freshow的enumxor无法枚举出网马地址。无固定XOR,在这里就需要考虑使用od来调试shellcode,得出最终的网马地址。
gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

下面讲解一下如何来调试shellcode,我们使用redcoe工具的执行下的:9>ShellCode至Exe,将shellcode生成为exe程序后,载入od进行调试。具体操作方法见下图:

gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

gototop
 

回复: 9周年活动,第二关网马解密方法详解(一)

通过以上方法生成exe程序后,将其载入至od里。在这里就不讲解如何来调试了,无非就是F7+F8一步一步来跟。最终的调试结果见下图:

gototop
 

回复:9周年活动,第二关网马解密方法详解(一)

膜拜版主~~~
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT