瑞星卡卡安全论坛技术交流区恶意网站交流 9周年活动,第二关网马解密方法详解(二)

12   1  /  2  页   跳转

[教程] 9周年活动,第二关网马解密方法详解(二)

收藏
本主题由 大版主 networkedition 于 2010-4-1 14:15:15 执行 设置高亮 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 13:46 | 只看楼主 短消息 资料
字号: 1楼

9周年活动,第二关网马解密方法详解(二)

第二个解密的地址:http://mil.jschina.com.cn/vote/data/20081201/4124.html,最终的解密结果如下:


Log is generated by FreShow.
[wide]http://mil.jschina.com.cn/vote/data/20081201/4124.html
    [script]http://www.sat-china.com/wxds/2007/yhzt/yhzt.jpg?DQ589B
        [frame]http://www.sat-china.com/wxds/2007/yhzt/next.html?瞬间
            [object]http://www.sat-china.com/wxds/2007/yhzt/test.swf
                [object]http://www.sat-china.com/wxds/y.css
    [script]http://js.users.51.la/3164776.js


直接来讲解test.swf这个flash网马如何来解密。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
最后编辑networkedition 最后编辑于 2010-04-01 14:14:52
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 13:55 | 只看楼主 短消息 资料
字号: 2楼

回复: 9周年活动,第二关网马解密方法详解(二)



按照以往的解密经验,我们都是将swf文件直接下载后,再使用工具进行解密。而这次这个swf网马使用传统的工具redoce、SWFDecompiler等无法解密出。在这里提供一个另类的解密技巧来解密这个swf文件。此方法由小聪大牛提供。将swf页面的源代码稍作修改,这里还是用到了textarea标签,通过运行修改过的页面后,通过加载这个swf文件后,将swf里的代码通过textarea文本框区域输出,从而达到获取swf内代码,完成最终的解密。下面来详细看一下具体步骤:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 14:03 | 只看楼主 短消息 资料
字号: 3楼

回复: 9周年活动,第二关网马解密方法详解(二)

源代码和修改后的代码就不贴出来,大家可以下载附件,其中next.html是源代码内容,abc.html为修改后的代码。注意:abc.html在遨游版本为:2..5.11成功获取到代码,经测试ie6.0及ie7.0都未能成功。成功获取到代码详见下图:


附件附件:

文件名:代码.rar
下载次数:620
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-1 14:03:08
描述:rar
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 14:05 | 只看楼主 短消息 资料
字号: 4楼

回复: 9周年活动,第二关网马解密方法详解(二)

获取到的代码中有个eval,使用redoce工具的eval清除来进行解密,或者直接使用在线解密工具的十进制进行解密也行。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 14:08 | 只看楼主 短消息 资料
字号: 5楼

回复: 9周年活动,第二关网马解密方法详解(二)

使用redoce的eval清除后,又看到我们熟悉的东西:shellcode。和上次解密一样,这个shellcode同样也需要使用od来进行调试。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 14:09 | 只看楼主 短消息 资料
字号: 6楼

回复: 9周年活动,第二关网马解密方法详解(二)

使用redoce工具将shellcode生成为exe程序,这里就不详细讲解了。详见下图:


最后编辑networkedition 最后编辑于 2010-04-01 14:11:00
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-01 14:13 | 只看楼主 短消息 资料
字号: 7楼

回复: 9周年活动,第二关网马解密方法详解(二)

同理我们将生成的exe程序,需要载入od进行调试。F7+F8一步一步跟,最终调试结果详见下图:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-02 10:59 | 只看楼主 短消息 资料
字号: 8楼

回复:9周年活动,第二关网马解密方法详解(二)

友情提醒:初学使用od调试shellcode的网友,建议在虚拟机里进行操作,以防跑飞后直接将exe程序运行起来。学习前先多看一下工具是如何使用的吧,网上相关资料很多的
gototop
 
梅罗
头像
自信弱冠狮
  • 帖子:430
  • 注册: 2010-01-18
  • 来自:永烁星光之地
论坛9周年纪念
发表于: 2010-04-02 13:48 | 短消息 资料
字号: 9楼

回复:9周年活动,第二关网马解密方法详解(二)

又学习了
天地间那一抹不灭的流光 即我
gototop
 
Cool_wXd
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2009-06-25
  • 来自:
发表于: 2010-04-02 14:30 | 短消息 资料
字号: 10楼

回复:9周年活动,第二关网马解密方法详解(二)

版主不厚道!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT