瑞星卡卡安全论坛技术交流区恶意网站交流 9周年活动,第二关网马解密方法详解(二)

12   1  /  2  页   跳转

[教程] 9周年活动,第二关网马解密方法详解(二)

9周年活动,第二关网马解密方法详解(二)

第二个解密的地址:http://mil.jschina.com.cn/vote/data/20081201/4124.html,最终的解密结果如下:


Log is generated by FreShow.
[wide]http://mil.jschina.com.cn/vote/data/20081201/4124.html
    [script]http://www.sat-china.com/wxds/2007/yhzt/yhzt.jpg?DQ589B
        [frame]http://www.sat-china.com/wxds/2007/yhzt/next.html?瞬间
            [object]http://www.sat-china.com/wxds/2007/yhzt/test.swf
                [object]http://www.sat-china.com/wxds/y.css
    [script]http://js.users.51.la/3164776.js


直接来讲解test.swf这个flash网马如何来解密。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
最后编辑networkedition 最后编辑于 2010-04-01 14:14:52
分享到:
gototop
 

回复: 9周年活动,第二关网马解密方法详解(二)



按照以往的解密经验,我们都是将swf文件直接下载后,再使用工具进行解密。而这次这个swf网马使用传统的工具redoce、SWFDecompiler等无法解密出。在这里提供一个另类的解密技巧来解密这个swf文件。此方法由小聪大牛提供。将swf页面的源代码稍作修改,这里还是用到了textarea标签,通过运行修改过的页面后,通过加载这个swf文件后,将swf里的代码通过textarea文本框区域输出,从而达到获取swf内代码,完成最终的解密。下面来详细看一下具体步骤:
gototop
 

回复: 9周年活动,第二关网马解密方法详解(二)

源代码和修改后的代码就不贴出来,大家可以下载附件,其中next.html是源代码内容,abc.html为修改后的代码。注意:abc.html在遨游版本为:2..5.11成功获取到代码,经测试ie6.0及ie7.0都未能成功。成功获取到代码详见下图:


附件附件:

文件名:代码.rar
下载次数:622
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-1 14:03:08
描述:rar

gototop
 

回复: 9周年活动,第二关网马解密方法详解(二)

获取到的代码中有个eval,使用redoce工具的eval清除来进行解密,或者直接使用在线解密工具的十进制进行解密也行。

gototop
 

回复: 9周年活动,第二关网马解密方法详解(二)

使用redoce的eval清除后,又看到我们熟悉的东西:shellcode。和上次解密一样,这个shellcode同样也需要使用od来进行调试。

gototop
 

回复: 9周年活动,第二关网马解密方法详解(二)

使用redoce工具将shellcode生成为exe程序,这里就不详细讲解了。详见下图:


最后编辑networkedition 最后编辑于 2010-04-01 14:11:00
gototop
 

回复: 9周年活动,第二关网马解密方法详解(二)

同理我们将生成的exe程序,需要载入od进行调试。F7+F8一步一步跟,最终调试结果详见下图:


gototop
 

回复:9周年活动,第二关网马解密方法详解(二)

友情提醒:初学使用od调试shellcode的网友,建议在虚拟机里进行操作,以防跑飞后直接将exe程序运行起来。学习前先多看一下工具是如何使用的吧,网上相关资料很多的
gototop
 

回复:9周年活动,第二关网马解密方法详解(二)

又学习了
天地间那一抹不灭的流光 即我
gototop
 

回复:9周年活动,第二关网马解密方法详解(二)

版主不厚道!
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT