swf网马的解密

2009/9/22 来源:www.arpun.com 作者:小白

作者:isno

现在都流行用flash挂马了, 一般都用SWF Encrypt来加密, www.arpun.com 很难反编译出其中的AS脚本。 但是基于无论是AS还是JS来heapspray, 其中都会调用import flash.external.*;ExternalInterface.call("eval","xxxx");。 如果是这种形式的我们就可以利用 hook eval的方法来解密。

<html>

<body>

<script type="text/javascript">

<!--

var _eval = eval;

window.eval = function(s) {

alert(s);

_eval(s);

}

//-->

</script>

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" width="1" height="1" id="gm" align="middle">

<param name="allowScriptAccess" value="sameDomain" />

<param name="movie" value="gm.swf" /><param name="quality" value="high" /><param name="bgcolor" value="#ffffff" /><embed src="gm.swf" quality="high" bgcolor="#ffffff" width="1" height="1" name="gm" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer"; />

</object>

</body>

</html>当swf加载的时候, 就能看到要运行的代码。

网友评论
评论(...
全部评论