1   1  /  1  页   跳转

[问题/讨论] 关于网马解密讨论

收藏
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 08:53 | 显示全部 短消息 资料
字号: 1楼

关于网马解密讨论

解了100多个网马了,经常见到这种情况:

 附件: 您所在的用户组无法下载或查看附件


这种用var定义了一个变量,然后在随后的shellcode里会有这个变量的形式出现,是否能把这种定义的变量换成它真正的值,然后代入这段shellcode,可是每次我解这种马,都发现把所有的变量全部替换之后,根本解不出有用的东西,而往往网马都在下面的另外一句shellcode里面,请问老师,既然没有网马地址,那么为什么挂马者还煞费苦心的去定义这些变量呢???还是为了让缓冲区溢出而专门在内存里开辟这么一块变量空间??还是这些变量后面的值比如kfcx="%u8936%u2444%u611C%uE8C3%uFB4F"+kfcooo+"FFFF";  的"%u8936%u2444%u611C%uE8C3%uFB4F"+kfcooo+"FFFF"; 仅仅是一个变量格式?而没有特别的意义??
源码如下:



用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6

附件附件:

您所在的用户组无法下载或查看附件

最后编辑暗夜的雪 最后编辑于 2010-03-02 09:56:41
娱乐致死还是娱乐至死啊?
分享到:
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 09:08 | 显示全部 短消息 资料
字号: 2楼

回复 2F 完颜无泪 的帖子

我认为也是可以得到解得吧~~  不知道%uXXXX是不是和/xXXXX是一一对应的函数关系,这还是要看16进制解密原理了,如果是一一对应的话,那么应该到这一步再替换也没问题的~~
主要是替换以后也没什么东西出现。。。而那个真正网马的地址却没有用任何一个变量,直接可以解出来~~~~
最后编辑暗夜的雪 最后编辑于 2010-03-02 09:09:07
娱乐致死还是娱乐至死啊?
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 09:23 | 显示全部 短消息 资料
字号: 3楼

回复 4F 完颜无泪 的帖子

带%u的  shellcode  个人感觉是双重的16进制加密,不知道这样理解对不对
娱乐致死还是娱乐至死啊?
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 09:39 | 显示全部 短消息 资料
字号: 4楼

回复:关于网马解密讨论

老师老师~~~~~快来看看呀~~~~~~~
娱乐致死还是娱乐至死啊?
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 09:57 | 显示全部 短消息 资料
字号: 5楼

回复:关于网马解密讨论

恩~~~ 对,有可能是用来逃避查杀的~  不过现在一般的杀软都是能查到。
娱乐致死还是娱乐至死啊?
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 17:32 | 显示全部 短消息 资料
字号: 6楼

回复 8F 是昔流芳 的帖子

非常感谢师父!!
娱乐致死还是娱乐至死啊?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT