SWF 挂马已经屡见不鲜了,不过现在的加密手段却越来越YD

1、常规挂马

这类挂马只要记事本打开SWF就可以看见地址,很简单…不过也是很少见到的物了

2、Zlib压缩

这类的挂马很常见,特征是用记事本打开看不到地址,,解密方法为:

1、使用Redoce的A>PDF/CWS/Zlib Extractor功能,输入文件类型选择SWF,然后直接加载SWF文件,如果没有出现错误提示,解压完后一般可见到地址了

如果出现提示

那可能就得麻烦些

需要使用SWFDecompiler

下载:

 点击此处下载

 接下来请直接看一组图:

 

以上图片载自龙族sxbsyh之手…指导老师本人..

如果到了此时仍然不能找到地址,那么很可能被XOR加密了

也很简单…

先将解压出来的文件的本地绝对路径输入到Redoce的地址栏中,此时Redoce地址栏会显示绿色

在Redoce的解密栏中找到A>XOR密钥寻找

一路OK就可以枚举到XORKEY了

附上样本,请点此下载样本(本样本中的SWF文件乃是病毒文件,请勿直接打开)

还有一种是常见的…你会在页面中看到iie.swf和fff.swf

但是里面除了类似这样的:

flashccVersion /:$version i.swf

flashccVersion /:$version f.swf

其他什么都没有

其实,其中的$version表示当前计算机的FLASH版本号

因此…就很简单了

自己添加一个版本号,就像这样win%209,0,115,0f.swf或win%209,0,115,0i.swf

再按照上面的步骤做就行了

例子(此例子已经失效)

Level 2>http://w.dw324.cn/05/ff.swf ●
Level 3>http://w.dw324.cn/05/win%209,0,115,0f.swf ●
Level 4>http://w.ut99889.com/01/ok.exe ●
Level 2>http://w.dw324.cn/05/ie.swf ●
Level 3>http://w.dw324.cn/05/win%209,0,115,0i.swf ●
Level 4>http://w.ut99889.com/01/ok.exe ●