Archive for 三月, 2010

MDecoder 0.50,新增网马利用漏洞识别

0.50更新:
1,新增网马利用漏洞识别。Scan完毕后会自动分析页面,识别出利用漏洞的链接图标将变为exp,exp下级的exe链接图标更改为vx。将鼠标移动到标注为exp链接上面将出现利用漏洞的名称提示,日志中自动添加利用漏洞名。这毕竟是我业余时间搞的一个小东东,虽然几乎用掉了最近一段日子的所有的业余时间,但是还可能有不少识别不到的情况,请将无法识别的网马打包发给我(请加密码virus来绕过邮箱杀毒),我将尽量添加,邮箱地址:adian410@yahoo.com.cn。
2,新增对flash的一种过滤方式。
3,右侧分析页面新增【?】按钮,为网马利用漏洞识别功能。需要注意的事该功能是基于整个网马来识别的,所以对于利用js标签分拆的不完全页面来说或许会出现无法识别的状况。

下载地址:
http://mtian.net/down/MDecoder.zip
http://log.mtian.net/MDecoder.zip

MDecoder,新增网马利用漏洞识别

日志:

Log generated by mtian use mdecoder 0.50
[root]http://aeu.bij.pl/44/av.htm
    [exp]http://aeu.bij.pl/44/mp.htm(Exploit.Mpeg2.b)
        [script]http://aeu.bij.pl/44/ll0.jpg
        [script]http://aeu.bij.pl/44/ll1.jpg
        [script]http://aeu.bij.pl/44/upp.jpg
            [color=red][virus]http://aex.bij.pl/l/nl.exe[/color]
        [script]http://aeu.bij.pl/44/llll1.jpg
        [script]http://aeu.bij.pl/44/llll.jpg
        [script]http://aeu.bij.pl/44/lllll.jpg
    [iframe]http://aeu.bij.pl/44/nod.htm
        [exp]http://aeu.bij.pl/44/lz.htm(Exploit.GLWorldHanGamePluginCn18.a)
            [script]http://aeu.bij.pl/44/oopk.jpg
                [color=red][virus]http://aex.bij.pl/l/nl.exe[/color]
            [script]http://aeu.bij.pl/44/ll1.jpg
            [script]http://aeu.bij.pl/44/lz.jpg
    [iframe]http://aeu.bij.pl/44/real.htm
        [exp]http://aeu.bij.pl/44/myra.htm(Exploit.RealPlayerIerpplug.b)
            [script]http://aeu.bij.pl/44/myr.jpg
                [color=red][virus]http://aex.bij.pl/l/nl.exe[/color]
    [iframe]http://aeu.bij.pl/44/rising.htm
        [exp]http://aeu.bij.pl/44/ofnt.htm(Exploit.OfficeSpreadsheet.a)
            [script]http://aeu.bij.pl/44/oopk.jpg
            [script]http://aeu.bij.pl/44/uug.jpg

闲扯:
1,这个网马利用漏洞识别是基于解密后的页面来做的,有时候因为识别的需求来调整解密函数,调整了解密后也需要对应的修改漏洞识别函数,绕啊绕,囧了。
2,到后来网马利用漏洞识别的特征添加几乎是个体力活了,以后有空再慢慢搞吧,这个小东东已经费我不少时间,该学习了。
3,费劲心血的MDScan.dll加了个Themida的壳,可能会被一些敏感的杀软报毒,请自行判断后决定是否使用。

Tags: , ,

星期一, 三月 8th, 2010 MDecoder 2 条评论

强大的MDecoder

哈哈,为了检出网马利用的漏洞,上周扒拉了一下,给MDecoder添加了个简单的词法分析功能。效果如下图,哈哈。能简单的分析下词法,然后将变量替换为值,将字符串拼接起来。

恩,吹牛的时候是不是可以说“偶有脚本虚拟机啦,哇哈哈”

嘿嘿,虽然对我这个菜鸟来说有点麻烦,但是其实挺简单的,找些开源代码改吧改吧就成了。

没有别的事的话,v0.5将于周末搞出来,会加上网页木马利用漏洞检测的。

顺便记一下:

在cnbeta看到XX在XX,对其中的一个XX很感兴趣,感觉自己也能XX,可惜了在XX,唉。

Tags: ,

星期四, 三月 4th, 2010 MDecoder, 网马解密 2 条评论

操蛋的微软

周六去赛格花两千来块大洋升级了下我的台式机,晚上就重装系统,打补丁,发现微软真TMD的操蛋。

1,我新装MSDN的零售版XPSP3系统,就装了个VC6和VS2008,使用microsoft update,他非得想让我安装office的补丁,我fuck,其中就有那么一个明晃晃的office正版验证补丁。

2,新装系统,用IE8访问microsoft update 的时候总是崩溃后恢复,崩溃后恢复。我无奈了,使用Firefox+IE tab访问microsoft update,之后顺利打补丁。

星期一, 三月 1st, 2010 胡思乱想 一条评论
Next Entries »

近期评论