欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

手把手一起分析最新Flash样本

来源:http://blog.sina.com.cn/u/1874932054 作者:佚名 时间:2012-04-01 TAG: 我要投稿

 友情提示: 本文分析的是真实样本,请各位实验时千万千万不要在物理机上操作,务必使用虚拟机,并断开网络连接。

1.  目的
写这篇文章的目的是想简单介绍一下Flash样本分析的流程,以及一些分析Flash样本常用的工具包括自己写的小程序。
本文涉及的内容包括:Flash文件的提取、结构查看、ActionScript的反汇编和反编译、ActionScript中shellcode的定位和提取、shellcode调试。
本文不会涉及对漏洞成因进行分析调试的相关内容。
2.  使用的样本
本文中使用是一个利用CVE-2012-0754漏洞的Flash样本,还算是比较新的Flash漏洞样本。
样本来源是:ContagioDump
这里向大家推荐一下这个blog,该blog经常会放出一些最新的病毒样本,仔细挖掘的话还能找到一些样本的合集,非常有用。
不过国内应该无法直接访问,需要翻墙先。懒得翻墙的同学,我把样本打包传到附件里了,可以直接下载附件。
3.  从Doc中提取Flash文件
下载样本解压后,原始样本在original文件夹中,名为“Iran’s Oil and Nuclear Situation.doc”。
等等,不是Flash样本吗,怎么是doc文件?你可能在想LZ是不是发错链接了。
其实真正的Flash样本是嵌在这个doc文件中的,这种手法并不是第一次被使用了,当年CVE-2010-0609(没记错的话)样本也是嵌在Excel文件里流出的。
打开word文档的话最后会有一只貌似熊(??)的谜样生物对你说“Hi~”,LZ觉得好诡异。。。
clip_image001

 

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载