修改shellcode异或加密的0day

# 鬼仔:7j的叉88出新东西了。

作者:7j

早在迅雷出来的时候,就第一次出现了这种技术,原来的代码就解不了,这次的0day又一次出现了,异或的值是21,现在终于决定自已写一版PHP的,推倒呀推倒…

有朋友问怎么才能找到异或的值是多少,网上有个教程的,可是太麻烦了,其实有一个简单的方法,就是把shellcode转成exe,http://www.cha88.cn/safe/shellcode_2_exe.php 转成exe以后,就用OD载入,就可以看到了,比如这次的

0040103C      8030 21       xor     byte ptr [eax], 21

程序还有一点小BUG,本着完全不责任的精神,我就不改了,细心一点不影响使用的

如果想修改网页木马里面的地址,把异或值保持一致,在本程序中加密一次,就可以代入新的0DAY里面使用了

程序地址为

http://www.cha88.cn/safe/new_shellcode.php

如果shellcode没有处理过,异或值填0就可以像上一版一样加解密了

相关日志

楼被抢了 7 层了... 抢座Rss 2.0或者 Trackback

  • hackerpunk

    我把我的网马地址用异或值进行加密成
    %u5549%u5155%u0E1B%u560E%u5656%u430F%u4840%u444A%u0F42%u4F42%u450E%u564E%u0E4F%u4E4A%u440F%u4459%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u0021
    但是不知道怎么再加密成a1+”9090″+a1+”dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031的形式

  • 4sec

    开心网(kaixin001.com) 惊爆高危漏洞,用户信息可能外泄

    本信息来源于挨踢博客
    原文链接:http://www.4sec.org/kaixin001-v/

  • derek

    请教:一段代码 xor ecx,ecx pop ebx xor ecx,ecx
    mov dx,5d60 xor word ptr [ebx+ecx*2],dx
    inc ecx inc edx cmp cx,300
    他的异或密值是什么啊?
    QQ:182470689

  • derek

    有朋友问怎么才能找到异或的值是多少
    哪里有这个教程啊,我怎么找不到呢?

  • Closersky

    http://udb.duowan.com/

    请帮我看看这个地址可以么., 谢谢

  • 3421

    网马异或解米自己发现了个超简单新方法.嘻嘻,

  • 3421

    拿 到代码直接看就知道密码啦,还不懂的朋友加我QQ511067085

发表评论