浅谈利用Flash Player漏洞挂马的swf的解密

will

个人声明：

此文章系本人原创，转载可以不注明原作者，但麻烦务必注明出处：卡饭论坛 bbs.kafan.cn

解密所需工具：

Sothink SWF Decompiler （绿色版下载见附件）
PS.附件里有3个利用Flash player漏洞造成溢出而执行任意代码的swf文件，供大家一起研究。

解密步骤：

1.运行SWFDecompiler.exe

2.载入带有恶意代码的swf文件

3.浏览右侧的“资源”框，查看“图片”资源

4.打开swf文件所附带的图片（事实上这里swf文件加载的并不是图片文件，而是含有恶意代码的特殊代码段），如图：

5.在“十六进制”框内查看该图片的代码，即能找到所挂的马或恶意代码，如图：




上面两个是Flash1.swf 和Flash2.swf的挂马地址，而下面这个则是i1231.swf中包含的恶意代码，该恶意代码也存在挂马。。。但是不会解，有待高手来解密。。

需要注意的两点：

1.某些网上挂的swf并非含有恶意代码的文件，而是通过脚本函数loadMovie()来载入真正含有恶意代码的swf文件来挂马的，解密时需要注意
2.运行Sothink SWF Decompiler 前请将其加入防火墙的黑名单，阻止其联网。否则当碰到上述注意事项中类型的swf文件时，将会联网载入恶意swf文件。

致谢：

首先要感谢的是yk1234及其提供的工具(http://bbs.kafan.cn/viewthread.php?tid=257932&page=3#pid3610211)

我也是踏着这个帖子里各位的研究方向来分析swf文件挂马的，所以还得感谢该帖子里各位分享交流个人的研究所得

[ 本帖最后由 yimike 于 2008-5-28 03:54 编辑 ]

PlayWill

第一时间抢沙发········
慢慢的看·····


PS:我正在学习HIPS啊···你居然强迫我来顶你的帖子

诈欺帅帅

原帖由 fanghao1234 于 2008-5-28 03:18 AM 发表
第一时间抢沙发········
慢慢的看·····


PS:我正在学习HIPS啊···你居然强迫我来顶你的帖子

嗯嗯,我也是来学习的,慢慢看.

woods12345

抢到了板凳，。。。。学习。。。

palfan

学习了，不过目前的这类病毒由于flash版本升级，威胁性越来越小了，我觉得应该不具备大规模传播的资质吧

will

问题是Flash Player目前为止还没有自动去升级到最新（某些版本号8开头的除外），所以估计挂马还会长期存在

palfan

哎？还没有自动更新么？我记得我同学机子前阵子出现了更新程序更新到124啊，难道我记错了

fireworld

9.0以上的貌似没看它自动升级过 以前有看到自动升级的 没有就手升吧

noldna

修改好了，怎么又把修改好的资源导入进swf文件呢？

啊弥陀佛

学习了