文中提及网马代码可在此下载(密码safelab):
http://cid-a6b213403dbd59af.skydrive.live.com/self.aspx/.Public/Sample/malicious.zip
这是一个国外网马,可以看到代码被加密到看不懂的地步,不过很快就能找到解密算法,因为最后的字符操作太明显了,而且找到类似加密的密文:
sggk://35.744.838.09/wzgz/a/vc.ksk?s=vc7
...
Blast's Security
Blast's Security Lab
2009年8月5日
写段代码解网马
网马总是想方设法的混淆代码,混淆到看不懂为止,然而通篇阅读一篇代码确实是头疼的事情,所以,有必要针对不同加密,自己写函数来解密。
文中提及网马代码可在此下载(密码safelab):
http://cid-a6b213403dbd59af.skydrive.live.com/self.aspx/.Public/Sample/malicious.zip
这是一个国外网马,可以看到代码被加密到看不懂的地步,不过很快就能找到解密算法,因为最后的字符操作太明显了,而且找到类似加密的密文:
sggk://35.744.838.09/wzgz/a/vc.ksk?s=vc7
...
文中提及网马代码可在此下载(密码safelab):
http://cid-a6b213403dbd59af.skydrive.live.com/self.aspx/.Public/Sample/malicious.zip
这是一个国外网马,可以看到代码被加密到看不懂的地步,不过很快就能找到解密算法,因为最后的字符操作太明显了,而且找到类似加密的密文:
sggk://35.744.838.09/wzgz/a/vc.ksk?s=vc7
...
Tags: 网马 代码 源码 解密
发布:blast | 分类:经验分享 | 评论:0 | 引用:0 | 浏览:
2009年7月30日
分析:Cao Chang-Ching The CPP made eight mistang U*****i incident_mm.pdf
这是一个1.7版本的PDF文档,在头部可以看到他的特征标记:%PDF-1.7%忏嫌在第10个obj处是一个SWF了,可以明显看到FWS文件头,但是这个SWF是无害的,可能是创造了一个不正确的结构使得软件解析错误。(偏移十进制:4146)紧接着,第11个OBJ处又是一个SWF,这个SWF是恶意的了(偏移十进制:4146+1315)SWF含有两个frame,动作脚本显示加载第一个frame时会执行恶意...
