2009
07.12
07.12
今天看到黑哥这篇文章《Flash封装的网马》,出差实在是太无聊了,稍微扯点~
在公司有时候也有解密这些网马的需求(ps:黑哥说的“终于出现了”有点夸张了,其实早就有很多~~ 目前的防挂马产品中,大部分都是基于特征的,估计很难抓到),当时首选的也是hp的swfscan,但是郁闷的是从来没有解出来过,估计是我自己用得不对 吧,最后就有今天说的这个办法。
思路很简单,在flash加载之前hook住常用的函数,在一般的网马中光是hook一个eval函数就能解密全部了。放demon,加载flash的代码直接从Adobe flash cs4中拷贝修改的,所以显得很冗余,错误应该也不少,凑合着看吧。
