SWF的几种类型解密
SWF 挂马已经屡见不鲜了,不过现在的加密手段却越来越YD
1、常规挂马
这类挂马只要记事本打开SWF就可以看见地址,很简单...不过也是很少见到的物了
2、Zlib压缩
这类的挂马很常见,特征是用记事本打开看不到地址,,解密方法为:
1、使用Redoce的A>PDF/CWS/Zlib Extractor功能,输入文件类型选择SWF,然后直接加载SWF文件,如果没有出现错误提示,解压完后一般可见到地址了
如果出现提示
<img alt="" width="509" height="103" src="http://xuanwobbs.com.cn/wp-content/uploads/image/meiju.JPG" />
那可能就得麻烦些
需要使用SWFDecompiler
下载:
接下来请直接看一组图:
<img width="400" height="281" alt="" style="null" src="http://xuanwobbs.com.cn/wp-content/uploads/image/12.jpg" /><img width="400" height="390" alt="" style="null" src="http://xuanwobbs.com.cn/wp-content/uploads/image/13.jpg" />
<img alt="" width="94" height="252" src="http://xuanwobbs.com.cn/wp-content/uploads/image/14.jpg" />
<img width="400" height="281" alt="" style="null" src="http://xuanwobbs.com.cn/wp-content/uploads/image/15.jpg" />
以上图片载自龙族sxbsyh之手...指导老师本人..
如果到了此时仍然不能找到地址,那么很可能被XOR加密了
也很简单...
先将解压出来的文件的本地绝对路径输入到Redoce的地址栏中,此时Redoce地址栏会显示绿色
在Redoce的解密栏中找到A>XOR密钥寻找
一路OK就可以枚举到XORKEY了
附上样本,请点此下载样本(本样本中的SWF文件乃是病毒文件,请勿直接打开)
还有一种是常见的...你会在页面中看到iie.swf和fff.swf
但是里面除了类似这样的:
flashccVersion /:$version i.swf
flashccVersion /:$version f.swf
其他什么都没有
其实,其中的$version表示当前计算机的FLASH版本号
因此...就很简单了
自己添加一个版本号,就像这样win%209,0,115,0f.swf或win%209,0,115,0i.swf
再按照上面的步骤做就行了
例子(此例子已经失效)
Level 2>http://w.dw324.cn/05/ff.swf ●
Level 3>http://w.dw324.cn/05/win%209,0,115,0f.swf ●
Level 4>http://w.ut99889.com/01/ok.exe ●
Level 2>http://w.dw324.cn/05/ie.swf ●
Level 3>http://w.dw324.cn/05/win%209,0,115,0i.swf ●
Level 4>http://w.ut99889.com/01/ok.exe ●