swf网马的解密

作者:isno

现在都流行用flash挂马了,一般都用SWF Encrypt来加密,很难反编译出其中的AS脚本。但是基于无论是AS还是JS来heapspray,其中都会调用import flash.external.*;ExternalInterface.call(“eval”,”xxxx”);。如果是这种形式的我们就可以利用 hook eval的方法来解密。

<html>
<body>
<script type="text/javascript">
<!--
var _eval = eval;
window.eval = function(s) {
alert(s);
_eval(s);
}
//-->
</script>
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" width="1" height="1" id="gm" align="middle">
<param name="allowScriptAccess" value="sameDomain" />
<param name="movie" value="gm.swf" /><param name="quality" value="high" /><param name="bgcolor" value="#ffffff" /><embed src="gm.swf" quality="high" bgcolor="#ffffff" width="1" height="1" name="gm" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>
</body>
</html>

当swf加载的时候,就能看到要运行的代码。

相关日志

楼被抢了 2 层了... 抢座Rss 2.0或者 Trackback

发表评论