网马解密高级篇(SWF解密)
一、Flash网马简介 :
flash网马是利用Adobe Flash Player播放器严重安全漏洞, 攻击者可以通过精心设计的特殊SWF文件实施攻击,
网马解密高级篇(SWF解密)漏洞预警
。浏览这些特殊构造的SWF文件,会运行攻击者设定的任意代码。二、Flash网马解密方法:
今天我们主要来讲解如何利用(HTMLDecoder)工具,对flash网马进行解密。此工具由小祥大牛开发的一款自动网马解密工具,内附有flash网马解密功能,在这里宣传一下小祥大牛哈。工具下载见附件,本次讲解不提供具体的swf文件下载,防止一些网友不明,胡乱运行导致系统中毒。主要讲解对于flash网马如何解密的方法
好接下来我们讲解如何使用HTMLDecoder工具,进行flash网马解密,详见截图:
在这里主要讲解如何利用这个工具,来解密swf网马,此工具其它使用方法,会在今后的网马教学中进行讲解,
电脑资料
《网马解密高级篇(SWF解密)漏洞预警》(https://www.unjs.com)。上述截图中红色框标出内容为在解密swf网马时,需要选择的相应的A>PDF/CWS/Zlib Extractor解密选项。在后面的pdf网马解密也是选择此项。
点击开始按钮弹出上述截图页面,此工具包含swf和pdf解密功能,简单介绍一下使用方法,点击浏览按钮找到要解密的swf或pdf文件,在输入文件类型选择相应的文件类型,默认为pdf,根据文件类型的不同,相应的加载或解压按钮也不相同,点击加载按钮,程序会自动结构拆分、找到其中的数据流,点击解压按钮后,解压数据浏览即会显示出网马下载地址。
定位到要解密的swf网马
在这里要注意两个细节:首先要选择输入文件类型为swf,因为要解密的是swf网马,选择此项后,默认的加载(pdf)按钮会变为解压(cws),这时我们点击解压(cws)按钮即可。
最终的解密结果在解压数据预览里显示,详见上图。