瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密工具之——Redoce (二)

12   1  /  2  页   跳转

[教程] 网马解密工具之——Redoce (二)

网马解密工具之——Redoce (二)



引用:
今天我们再来讲解一下redoce解密shellcode的功能,我们在解密类似shellcode网马时,遇到最多情况就是替换了,根据源代码找到需要替换为%u的字符,例如:Game或其它的字符等。下面我们来看一下redoce的替换功能及非常强大猜解密钥的功能。这个猜解密钥功能对于一般带密钥的shellcode都能猜解出来,对于不懂od的网友是个福音,我们知道一般带密钥的shellcode是需要通过od进行调试,才能知道具体的密钥是什么,根据密钥才能正确解密出网马地址,而redoce的%ux功能,就省去了我们调试这个环节。即时遇到一般带密钥的shellcode也就不费吹灰之力了。


            好了,来看一下解密的网址: http://ccndk822.cn/a/02.htm




用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复: 网马解密工具之——Redoce (二)

我们看到02.htm源代码中包含一个set.js,先来看一下set.js源代码内容。详见下列截图:

 
gototop
 

回复: 网马解密工具之——Redoce (二)

set.js的源代码简单分析一下,类似shellcode形式,shellcode是以%u来分隔,在这里就需要替换了,那么如何来替换呢,还记得我们前几期讲的shellcode,这种一般在父级源代码中有替换方法。ok,再来看一下02.htm源代码内容,有个eval加密,我们先来解一下这个eval,看能否找到我们需要东西。

gototop
 

回复: 网马解密工具之——Redoce (二)



我们来看一下, 红色线条标出的就是解密方法哟。是将gfds替换为%u
gototop
 

回复: 网马解密工具之——Redoce (二)

接下来进行替换操作,在去杂功能选项下选择4>自定义替换,点击开始来进行替换。
gototop
 

回复: 网马解密工具之——Redoce (二)

点击开始弹出替换对话框,在输入要被替换的文字,输入gfds,点击确定按钮,再弹出这些字符被替换为什么字符对话框,输入%u,点击确定自动完成替换。


gototop
 

回复: 网马解密工具之——Redoce (二)

替换为标准的shellcode,我们先来尝试使用5>Unicode清除(%u,\u)(参数/无参数)来进行shellcode解密。


gototop
 

回复: 网马解密工具之——Redoce (二)

我们未解出网马地址,难道是带密钥shellcode?点击%uX来尝试猜解一下密钥。

 
gototop
 

回复: 网马解密工具之——Redoce (二)

好我们来试一下,这个猜解出密钥是否正确,同样解密选项选择5>Unicode清除(%u,\u)(参数/无参数),点击开始进行解密。详见下列截图:


gototop
 

回复: 网马解密工具之——Redoce (二)

我们看到这个shellcode果然带密钥,%uX功能猜解出密钥也是正确的。通过这个实例,我们看到redoce工具的%uX这个功能对于解密带密钥shellcode有很大帮助, 这两款解密工具都有各自优缺点吧,redoce这个网马解密工具功能还是非常强大的。


注:
楼主的这个说法是错误的:
1. XOR加密作为shellcode加密的一种最简单的形式,很早就受到shellcode编写者的注意,并被用作最常用的shellcode加密方式。因此带XOR加密的shellcode绝非到Freshow出现之后才出现。
2. Freshow并非不具有解密带XOR加密的shellcode的功能。恰恰相反,enumXOR功能就是这个功能。该功能与Redoce的%uX是一致的,即通过自动枚举猜解来获得单字节XOR加密的密钥。
用Freshow的enumXOR功能,完全可以解密出这个shellcode。
使用方法:
(1)先把文本内容做replace处理之后除头去尾,只剩下shellcode部分的%u内容。用ESC功能将其变为\x的表示形式。

(2)选择enumXOR功能,按下"Decode"键,出现一个提示框,内容为"Match!XOR BCh.",关闭提示框,解密结果直接显示。
相关图如下,由于我看到时,这个病毒URL地址已经改变,所以与楼主的图结果不一致。
提示框显示:

关闭提示框后的结果:


by 轩辕小聪 2009.06.15
最后编辑networkedition 最后编辑于 2009-06-16 08:53:11
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT