1、常规挂马

这类挂马只要记事本打开SWF就可以看见地址，很简单…不过也是很少见到的物了

2、Zlib压缩

这类的挂马很常见，特征是用记事本打开看不到地址，，解密方法为：

1、使用Redoce的A>PDF/CWS/Zlib Extractor功能，输入文件类型选择SWF，然后直接加载SWF文件，如果没有出现错误提示，解压完后一般可见到地址了

如果出现提示

那可能就得麻烦些

需要使用SWFDecompiler

下载：

 点击此处下载

 接下来请直接看一组图：

以上图片载自龙族sxbsyh之手…指导老师本人..

如果到了此时仍然不能找到地址，那么很可能被XOR加密了

也很简单…

先将解压出来的文件的本地绝对路径输入到Redoce的地址栏中，此时Redoce地址栏会显示绿色

在Redoce的解密栏中找到A>XOR密钥寻找

一路OK就可以枚举到XORKEY了

附上样本，请点此下载样本（本样本中的SWF文件乃是病毒文件，请勿直接打开）

还有一种是常见的…你会在页面中看到iie.swf和fff.swf

但是里面除了类似这样的：

flashccVersion /:$version i.swf

flashccVersion /:$version f.swf

其他什么都没有

其实，其中的$version表示当前计算机的FLASH版本号

因此…就很简单了

自己添加一个版本号，就像这样win%209,0,115,0f.swf或win%209,0,115,0i.swf

再按照上面的步骤做就行了

例子（此例子已经失效）

Level 2>http://w.dw324.cn/05/ff.swf ●
Level 3>http://w.dw324.cn/05/win%209,0,115,0f.swf ●
Level 4>http://w.ut99889.com/01/ok.exe ●
Level 2>http://w.dw324.cn/05/ie.swf ●
Level 3>http://w.dw324.cn/05/win%209,0,115,0i.swf ●
Level 4>http://w.ut99889.com/01/ok.exe ●

因此我决定将博客程序换为WordPress

启动智能防广告插件..可以有效阻止99%广告

接下来还有一系列要处理的工作…比如说选择性转原帖

测试图片功能