瑞星卡卡安全论坛技术交流区恶意网站交流 9周年活动,第二关网马解密方法详解(一)

1   1  /  1  页   跳转

[教程] 9周年活动,第二关网马解密方法详解(一)

收藏
本主题由 大版主 networkedition 于 2010-3-31 13:51:32 执行 设置高亮 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 10:57 | 显示全部 短消息 资料
字号: 1楼

9周年活动,第二关网马解密方法详解(一)

在这里就讲解一下,解密的技巧吧。  首先,源代码中很乱,有很多的空格字符,实际上是终止符(00),需要整理一下源代码,提供一个快速代码的方法,使用winhex工具来进行替换,此方法由小聪大牛提供。
使用winhex工具打开要解密的代码,截图如下:
源代码在11楼有下载



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
最后编辑networkedition 最后编辑于 2010-03-31 14:05:02
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 11:06 | 显示全部 短消息 资料
字号: 2楼

回复: 9周年活动,第二关网马解密方法详解(一)

上图中红色框标记出的就是终止符(00),需要将其进行替换。winhex工具点击搜寻下的替换十六进制数值,

参加下图设置:点击ok进行替换。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 11:11 | 显示全部 短消息 资料
字号: 3楼

回复: 9周年活动,第二关网马解密方法详解(一)

替换完成后可以将代码另存为即可。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 11:19 | 显示全部 短消息 资料
字号: 4楼

回复: 9周年活动,第二关网马解密方法详解(一)

分析一下整理后代码,里面有个document.write函数,由于代码太长,不建议使用将document.write替换为alert的方法(有截断代码现象),使用textarea这个文本区域的html标签,将代码执行后,执行结果在文本区域内显示出来。

最后编辑networkedition 最后编辑于 2010-03-31 12:55:41
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 13:08 | 显示全部 短消息 资料
字号: 5楼

回复: 9周年活动,第二关网马解密方法详解(一)

在整理好的代码头部和尾部分别添加如下代码:










完整代码见附件,直接打开附件里的网页,并允许执行被阻止的脚本或activex控件,可以看到执行后代码被输出值文本区域。textarea标签使用方法参考html教程,这里就不详细讲解了。

附件附件:

文件名:jf1.rar
下载次数:625
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-31 13:08:01
描述:rar
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 13:18 | 显示全部 短消息 资料
字号: 6楼

回复: 9周年活动,第二关网马解密方法详解(一)

执行结果详见下图:



ok,有我们非常熟悉的东西,unescape后面的一串是shellcode。接下来我们使用freshow或redoce工具来解密这段shellcode,发现无法解密出,使用freshow的enumxor无法枚举出网马地址。无固定XOR,在这里就需要考虑使用od来调试shellcode,得出最终的网马地址。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 13:25 | 显示全部 短消息 资料
字号: 7楼

回复: 9周年活动,第二关网马解密方法详解(一)

下面讲解一下如何来调试shellcode,我们使用redcoe工具的执行下的:9>ShellCode至Exe,将shellcode生成为exe程序后,载入od进行调试。具体操作方法见下图:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 13:42 | 显示全部 短消息 资料
字号: 8楼

回复: 9周年活动,第二关网马解密方法详解(一)
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 13:46 | 显示全部 短消息 资料
字号: 9楼

回复: 9周年活动,第二关网马解密方法详解(一)

通过以上方法生成exe程序后,将其载入至od里。在这里就不讲解如何来调试了,无非就是F7+F8一步一步来跟。最终的调试结果见下图:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-31 14:04 | 显示全部 短消息 资料
字号: 10楼

回复: 9周年活动,第二关网马解密方法详解(一)

源代码见附件,补充一下,所利用的是极风漏洞,ie前段时间的那个KB980182漏洞。微软今天发布了更新的补丁,具体参看:http://www.microsoft.com/china/technet/security/bulletin/MS10-018.mspx

附件附件:

文件名:jf.rar
下载次数:380
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-31 14:03:50
描述:rar

最后编辑networkedition 最后编辑于 2010-03-31 14:49:00
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT