swf木马分析

shadowmin

在分析网马时对于

1. hxxp://wr.jkt57.cn/1/20/cc11.htm
   
2. hxxp://ukyerb3.3322.org/a/iggg.html

复制代码

这类地址分析完都是一些ＳＷＦ文件，在网上搜了一下，很少见到这方面的教程，这里抛砖引玉，希望能有更好的方法法出现来分析这种类型的木马
工具
　Sothink SWF Decompiler，简称ＳＳＤ
用来分析ＳＷＦ文件
分析过程：
　在分析好以上地址后，获得ＳＷＦ文件下载地址，并把文件下载到本机。
　然后用ssd软件打开。
第一幅图中：
　1：打开下载的文件
　2：先选常规
　3：展开ＳＷＦ文件
第二幅图中“
　1：打开其它标签
　2：选中unknow（第一，第二个都可以）
　3：选择十六进制
　4：下拉打开木马地址

[ 本帖最后由 shadowmin 于 2009-5-8 23:20 编辑 ]

cwjt

支持，另发一个swf解压小工具，有源码，用来解小型swf很方便。晕，一百多k的文件传不上来，懒得分割了。上传到brsbox
http://www.brsbox.com/filebox/down/fc/d6545b30e11bcab416d19bdf752b5afd

gtyre1

进来学习下~

taoyuan237

学习一下

xiaoqiang305

问一下  怎么从下面找到swf的下载地址呢？
document.writeln("<script type="text/javascript">");document.writeln("var version=deconcept.SWFObjectUtil.getPlayerVersion();");document.writeln("if(version['ma'+'jor']==9){");document.writeln("    document.getElementById('safeYT').innerHTML="";");document.writeln("    if(version['rev']==115){");document.writeln("        var so=new SWFObject("./ci115.swf","mymovie","0.1","0.1","9","#000000");");document.writeln("        so.write("avstYT")");document.writeln("    }else if(version['rev']==47){");document.writeln("        var so=new SWFObject("./ci47.swf","mymovie","0.1","0.1","9","#000000");");document.writeln("        so.write("avstYT")");document.writeln("    }else if(version['rev']==45){");document.writeln("        var so=new SWFObject("./ci45.swf","mymovie","0.1","0.1","9","#000000");");document.writeln("        so.write("avstYT")");document.writeln("    }else if(version['rev']==64){");document.writeln("        var so=new SWFObject("./ci64.swf","mymovie","0.1","0.1","9","#000000");");document.writeln("        so.write("avstYT")");document.writeln("    }else if(version['rev']==28){");document.writeln("        var so=new SWFObject("./ci28.swf","mymovie","0.1","0.1","9","#000000");");document.writeln("        so.write("avstYT")");document.writeln("    }else if(version['rev']>=124){");document.writeln("        if(document.getElementById){");document.writeln("            document.getElementById('safeYT').innerHTML=""");document.writeln("        }");document.writeln("    }");document.writeln("}");document.writeln("</ScripT>")

taoyuan237

原帖由 xiaoqiang305 于 2009-5-9 13:32 发表
问一下  怎么从下面找到swf的下载地址呢？
document.writeln("");document.writeln("var version=deconcept.SWFObjectUtil.getPlayerVersion();");document.writeln("if(version['ma'+'jor']==9){");document.write ...

得到的代码在malzilla跑一下就可以得到

剩下的不用我教了吧。其实不跑也可以只不过是看起来费劲点

xiaoqiang305

是这个意思么
hxxp://wr.jkt57.cn/1/20/cc11.htm./ci28.swf
把那几个swf都放在原网址的后边？

taoyuan237

原帖由 xiaoqiang305 于 2009-5-9 14:09 发表
是这个意思么
hxxp://wr.jkt57.cn/1/20/cc11.htm./ci28.swf
把那几个swf都放在原网址的后边？

意思是在原地址的上面加ci28.swf
如hxxp://wr.jkt57.cn/1/20/cc11.htm
就变成了hxxp://wr.jkt57.cn/1/20/ci28.swf

Sherry.ai

偶还是先学解htm吧

taoyuan237

原帖由 935623508 于 2009-5-9 14:40 发表
偶还是先学解htm吧

去剑盟看看吧，文字教程更快，视频太慢了