查看: 28381|回复: 174
收起左侧

[原创] [官方更新帖] Astox Build 1220 rev. beta

[复制链接]
IllusionWing
发表于 2009-8-16 14:14:26 | 显示全部楼层 |阅读模式

小羽:小羽在此占座喝茶,敬候Sherry.ai的到来
小哀:I see
小羽:astox目前还很不完善,可能大家会失望的,总之试试看吧




更新日志
Build 1220 Beta
(此版本为Beta版本,使用自动更新将会回滚到Build 1200 Final)
1、增加了虚拟执行 JS 功能(和神器类似)。目前支持部分的document和window类模拟。
2、增加了禁用XMLHTTP读取的功能。
3、模拟JS需要提供浏览器的UserAgent,默认为msie 7,您可以自己在选项中更改。(部分网马是看浏览器版本的)

Build 1200
(此次为大更新,可能无法使用自动更新功能更新)
1、将网页读取方式将URLDownloadToFile更换为XMLHTTP(可能导致些许的卡机问题,但是有助于通信稳定性。)
2、增加自动Unicode转换功能。
3、清除混淆功能进化为格式整理。
4、支持直接Native GZIP读取,避免过长网页无法加载的问题。
5、支持了DLL形式的插件,具体公开函数见Plugins\DLLSDK.txt。
6、增进垃圾回收管理。
7、支持在自动解密中调用插件,提高了扩展性。
8、通信抽象层稳定性改进。

Build 1115
1、增加自动更新功能。注意,除非要更新程序本身,否则更新完毕后没有任何提示。

Build 1110
1、修正了.swf地址识别中的问题
2、复制后的日志自动将http替换为hxxp
3、增加批量下载功能
4、双击一个EXE的地址时会提示是否保存exe
5、修正了NATIVE XOR中搜索到无效地址的问题
6、增加了编辑菜单。

Build 1100
1、更新了WebWhite.txt
2、增加了Native过程,现在,所有加载的网页同时将被以无任何修改的形式存储一份(防止编码及其他问题)
3、支持了SWF的解压缩功能
4、支持了原生搜索XOR数据(直接在二进制文件中搜索,如SWF,不过如果是压缩的SWF需要先解压缩)
5、修正了http:\/\这样子的地址识别错误的问题
6、增加了对于"./xx.swf"这样子地址的检测
7、增加了“扫描式跨站分析”的功能,可以方便的解决地址嵌入在子js中的问题
8、更改自动解密,使之支持SWF自动解密,并在自动解密过程后增加了总输出和自动复制的功能
9、支持了重置(释放资源)
10、其他稳定性改进

Build 1090
1、更新了WebWhite.txt
2、增加了工具条浮动模式
3、增加了恶意网站自动判定功能
4、设置可以保存
5、增加了自动分析时禁止跨站

Build 1081
1、修正了GetParentURL过程中识别的问题
2、向白名单库内增加了条目
3、修正了;作为语句分隔而引发的问题

Build 1080
1、现在可以分析http%3A这样子的地址
2、现在可以控制识别到一个地址后是否停止自动解密
3、解决了CSS作为扩展名的脚本不会自动解密的问题
4、清除混淆代码功能支持了类似于下面的清除(举个例子)

  1. var MT="%u"
  2. var s=MT+"5544"+MT+"7777"
复制代码
现在清除后将变成

  1. var MT="%u"
  2. var s="%u5544%u7777"
复制代码
5、增加断点功能(但不是调试),可以方便的获知在执行到任意位置时的变量情况
6、增加了构建Hook的功能,简单的就可以Hook Eval和Unescape函数,便于分析
7、修正了URL分析中对于一些子地址错误识别为跨站地址的问题
8、现在“载入”的地址也会显示在日志中
9、按钮改了下位置
10、识别到PDF文件时也会提示关注了

Build 1062
1、加入了注册部件。
2、改进了地址栏的方法,现在不是http://开头的地址也可以正常加载
3、把窗口弄小了

Build 1060
1、解决了部分XOR解密不正常工作的问题
2、变了个版本号
3、修减了下代码
4、在地址栏中按下Shift+Enter是下载而不是加载

以下说明书由哀盟和Kafan Hunters Forum中发布的先行版本照抄而来,估计还是没人能看懂。。

提示:未完全摸索本工具之前不可将其作为解马的工具。
可能有疑难的地方:
注意:所有需要选择内容的功能,选择的对象必须要是一个完整的表达式,比如"sss",只选中sss是不允许的。括号可以选也不可以不选,但一定要配对。还有,千万不要用自动解密功能解密一个包含挂马脚本/ IFRAME的网页,一定要直接自动解密完全包含挂马地址(如http://www.XXXX.com被挂马,存在挂马网页、程序的站点是http://www.GUAMAGUAMA.com,千万不要自动解密前一个),不然这软件会死的很惨。。
1、地址必须是http://开头(当然hxxp也可以)
2、导出到OD功能目前只支持到生成EXE,并不能真正导入OD (ShellCodeDebugTemp.exe)
3、无论在什么状态分析下在程序底部有任何地址,都可以直接双击地址加载
4、在多页面选项卡需要双击条目或单击“打开”才能打开标签
5、清除混淆代码目前只支持 '+' "+" 这样的去除
6、自动解析目前只支持不经加密的EXE、经Escape加密的EXE和XOR的EXE (无需要提供密钥,程序会自动推导)
7、XOR解密有两种方式,(正)方法更快,但可能获取不到地址。同时,该功能只支持经过Escape处理的Shellcode,使用前需要先选中"%uXX"的部分(你也可以选中一个表达式,总之选中的对象执行后需要返回一个符合escape规范的字符串)
8、智能解码的使用方式是先选中需要解密的段落再点击,比如:
(1) 函数解密
function (p,a,c,k,e,d) { ---XXXXX--- }
只要选中function~}就可以了
(2)Escape解密
这个比较特殊,必须要选中unescape("XXXXXXXX") 整个语句
(3)Eval("\XX") (8进制->10进制转义)
这个需要选中"\XX\XX"(别忘了双引号)
(4)document.write(ln) ("XXX")
直接选中整个语句就可以了。
(5)需要读取一个变量
直接选中变量名称就可以了
(6)需要读取一个表达式
选中整个表达式(要全)
9、引用分析支持直接从转义过的字符串提取地址,比如“'http\:\/\/XXXX\/load.php?\/'”这样的地址,无需先行转换。
10、自动分析没有设定限制,所以容易陷入死循环或对象很多的异常分析情况。
11、目录下的Cache目录支撑了缓存系统,缓存功能是否开启取决于该文件夹是否存在。本程序的读取逻辑是先直接访问URL,如果失败,则读取缓存(这甚至允许你在断网状态下训练解马)。如果在输入地址的编辑框中按Ctrl+Enter,将会强制加载缓存,除非缓存不存在,否则不会在网络上读取目标地址。
12、误报。众所周知。。易的误报很厉害。。
13、分析引用功能目前还有一个问题,会将一些本地地址识别为远程地址。我将试着解决。




http://sherryai.com/Astox1200.7z
http://sherryai.com/Astox1220Beta.7z
同时下载两个压缩包释放到同一文件夹内。

注册文件_释放到astox目录下.rar

218 Bytes, 下载次数: 556

评分

参与人数 8经验 +50 人气 +11 收起 理由
llzy3575 + 1 消失卡饭很长一段时间了,现在出来冒泡
无尽藏海 + 1 版区有你更精彩: )
jimmyleo + 50 + 1 迟到的酱油
hu3167343 + 1 昨天找了很久都没找到教程
Micropoint + 1 我砸。。。。

查看全部评分

fantrasive
发表于 2009-8-16 14:17:29 | 显示全部楼层
沙发么?
IllusionWing
 楼主| 发表于 2009-8-16 14:18:50 | 显示全部楼层

回复 2楼 fantrasive 的帖子

帮你把你的帖子删了就不是沙发了

评分

参与人数 1人气 +1 收起 理由
fantrasive + 1 贿赂下。。。

查看全部评分

always
发表于 2009-8-16 14:18:55 | 显示全部楼层
强烈支持
knifed
发表于 2009-8-16 14:23:48 | 显示全部楼层
解压竟然失败....
IllusionWing
 楼主| 发表于 2009-8-16 14:24:12 | 显示全部楼层

回复 4楼 always 的帖子

Thank you for your support~~(*^__^*)...嘻嘻
IllusionWing
 楼主| 发表于 2009-8-16 14:24:47 | 显示全部楼层

回复 5楼 knifed 的帖子

orz...

---------------------------
测试完成
---------------------------
在测试操作中没有发现错误
---------------------------
确定   
---------------------------
knifed
发表于 2009-8-16 14:28:01 | 显示全部楼层
重新下载可以解压了.先学习一下.
IllusionWing
 楼主| 发表于 2009-8-16 14:30:30 | 显示全部楼层

回复 8楼 knifed 的帖子

pretty~
daxiaoS
发表于 2009-8-16 14:36:22 | 显示全部楼层
请问楼主这是redoce 2.0 Freshow之类的工具吗?能简单介绍下说明?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-14 15:00 , Processed in 0.130578 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表