0.50更新:
1,新增网马利用漏洞识别。Scan完毕后会自动分析页面,识别出利用漏洞的链接图标将变为exp,exp下级的exe链接图标更改为vx。将鼠标移动到标注为exp链接上面将出现利用漏洞的名称提示,日志中自动添加利用漏洞名。这毕竟是我业余时间搞的一个小东东,虽然几乎用掉了最近一段日子的所有的业余时间,但是还可能有不少识别不到的情况,请将无法识别的网马打包发给我(请加密码virus来绕过邮箱杀毒),我将尽量添加,邮箱地址:adian410@yahoo.com.cn。
2,新增对flash的一种过滤方式。
3,右侧分析页面新增【?】按钮,为网马利用漏洞识别功能。需要注意的事该功能是基于整个网马来识别的,所以对于利用js标签分拆的不完全页面来说或许会出现无法识别的状况。
下载地址:
http://mtian.org/down/MDecoder.zip
http://log.mtian.org/MDecoder.zip
日志:
Log generated by mtian use mdecoder 0.50 [root]http://aeu.bij.pl/44/av.htm [exp]http://aeu.bij.pl/44/mp.htm(Exploit.Mpeg2.b) [script]http://aeu.bij.pl/44/ll0.jpg [script]http://aeu.bij.pl/44/ll1.jpg [script]http://aeu.bij.pl/44/upp.jpg [color=red][virus]http://aex.bij.pl/l/nl.exe[/color] [script]http://aeu.bij.pl/44/llll1.jpg [script]http://aeu.bij.pl/44/llll.jpg [script]http://aeu.bij.pl/44/lllll.jpg [iframe]http://aeu.bij.pl/44/nod.htm [exp]http://aeu.bij.pl/44/lz.htm(Exploit.GLWorldHanGamePluginCn18.a) [script]http://aeu.bij.pl/44/oopk.jpg [color=red][virus]http://aex.bij.pl/l/nl.exe[/color] [script]http://aeu.bij.pl/44/ll1.jpg [script]http://aeu.bij.pl/44/lz.jpg [iframe]http://aeu.bij.pl/44/real.htm [exp]http://aeu.bij.pl/44/myra.htm(Exploit.RealPlayerIerpplug.b) [script]http://aeu.bij.pl/44/myr.jpg [color=red][virus]http://aex.bij.pl/l/nl.exe[/color] [iframe]http://aeu.bij.pl/44/rising.htm [exp]http://aeu.bij.pl/44/ofnt.htm(Exploit.OfficeSpreadsheet.a) [script]http://aeu.bij.pl/44/oopk.jpg [script]http://aeu.bij.pl/44/uug.jpg |
闲扯:
1,这个网马利用漏洞识别是基于解密后的页面来做的,有时候因为识别的需求来调整解密函数,调整了解密后也需要对应的修改漏洞识别函数,绕啊绕,囧了。
2,到后来网马利用漏洞识别的特征添加几乎是个体力活了,以后有空再慢慢搞吧,这个小东东已经费我不少时间,该学习了。
3,费劲心血的MDScan.dll加了个Themida的壳,可能会被一些敏感的杀软报毒,请自行判断后决定是否使用。
嗯,越来越完善了,向着产品级作品迈进……
呵呵……继续支持麦田,麦田继续无私工作。
偶木有无私啊,而且这个是我私心最大的产物。