欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Malzilla的抓马方法

来源:本站整理 作者:佚名 时间:2017-02-17 TAG: 我要投稿

无意中打开了一个挂马的网站,结果电脑不幸中了木马,我首先想到的就是拔掉网线,以防止木马再从网上下载别的木马和病毒。这个木马应该是做过了免杀处理,我电脑上安装的杀毒软件一点儿反应也没有,这该如何清理呢?干脆就直接抓取隐藏的网马样本,然后通过分析其动作来清除病毒吧。思路已经有了,我马上跑到同事的电脑上开工(我自己的那台电脑已经中了木马,自然是不能使用了)。

对于网马的解密,我使用到了Malzilia这个工具,解密的过程可以分为以下几步:
1、在“Download”标签栏下方的“URL”地址栏中输入那个被挂马的网址“http://www.xxx.cn/images/2017/log.htm”,然后点击“Get”按钮,该脚页的源码便会在文本框中显示出来了,但在源码中除了几个可疑的Src地址外,没有发现其它异常的代码。
2、获取Src地址, 我们点击“Send to Links Parser”标签栏中就会看到过滤出的Src地址,齐总后面三个是统计流量的地址,所以我们只需要留意前面的那四个网址。
3、按照第1步的操作,依次查看这四个网址的源码,结果发现“show.jpg?www.myhack58.com”和“shows.jpg?www.myhack58.com”只是起到了产生clsid等善后工作,而网马的地址就藏在“cqqtemp.css”和“cqqskin.css”文件中。“cqqtemp.css”文件的源码定义了“vmware_exe="\x25"+"\x75"”,“\x25”和“\x75”为16进制加密形式,我们选中加密的部分并粘贴到“Misc Decoders”栏,点击右键,依次选择“Run Script”一“Decode Hex”,在弹出的对话框中填入“\x”,然后点击“OK”进行转换。
进行16进制转化后的结果为“vmware_exe="%U"”,这样一来“cqqskin.css”文件的源码就变成了代码中定义“taskmgr_exe”和“Msdos exe”两个变量,我们使用“unescape”函数对这两个变量进行解密处理,然后将代码保存到本地,通过修改代码来输出“taskmgr_ exe”和“Msdos_exe”这两个变量:在头部对“vmware_exe”进行定义,也就是插入代码“vmware_exe=”%u””,将代码“svchost_exe=unescape(taskmgr_exe)”和“svchosts_exe=unescape(Msdos_exe)”中的“unescape”修改为“Document.write”(语言中的输出语句),最后在文本的头尾分别加上脚本标签“”和“”,最后保存为Htm文件并运行。
4、我们复制“%u”那一串字符到Malzilla中的“Misc Decoders”栏,点击“UCS2 To Hex”先转化成16进制,然后再将这段16进制字符以“Paste as Hex”的形式粘贴到顶部右边的“Hex”栏中,这样就得出了下载地址。
至此网马的地址就全部解密完成了,将网马下载到本地后我本想使用OD跟踪一下,但被朋友制止了,他告诉了我一个省时省力的在线分析网站,对样本进行提交后不一会儿分析结果就出来了。好家伙,动作可真多,映像劫持、新建服务、驱动,比对着分析结果把相应的文件及注册表值一一删除后,就把中毒的电脑给搞定了,这次的抓马行动相信大家们都看懂了吧!
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载