MDecoder 0.50,新增网马利用漏洞识别

0.50更新:
1,新增网马利用漏洞识别。Scan完毕后会自动分析页面,识别出利用漏洞的链接图标将变为exp,exp下级的exe链接图标更改为vx。将鼠标移动到标注为exp链接上面将出现利用漏洞的名称提示,日志中自动添加利用漏洞名。这毕竟是我业余时间搞的一个小东东,虽然几乎用掉了最近一段日子的所有的业余时间,但是还可能有不少识别不到的情况,请将无法识别的网马打包发给我(请加密码virus来绕过邮箱杀毒),我将尽量添加,邮箱地址:adian410@yahoo.com.cn。
2,新增对flash的一种过滤方式。
3,右侧分析页面新增【?】按钮,为网马利用漏洞识别功能。需要注意的事该功能是基于整个网马来识别的,所以对于利用js标签分拆的不完全页面来说或许会出现无法识别的状况。

下载地址:
http://mtian.org/down/MDecoder.zip
http://log.mtian.org/MDecoder.zip

MDecoder,新增网马利用漏洞识别

日志:

Log generated by mtian use mdecoder 0.50
[root]http://aeu.bij.pl/44/av.htm
    [exp]http://aeu.bij.pl/44/mp.htm(Exploit.Mpeg2.b)
        [script]http://aeu.bij.pl/44/ll0.jpg
        [script]http://aeu.bij.pl/44/ll1.jpg
        [script]http://aeu.bij.pl/44/upp.jpg
            [color=red][virus]http://aex.bij.pl/l/nl.exe[/color]
        [script]http://aeu.bij.pl/44/llll1.jpg
        [script]http://aeu.bij.pl/44/llll.jpg
        [script]http://aeu.bij.pl/44/lllll.jpg
    [iframe]http://aeu.bij.pl/44/nod.htm
        [exp]http://aeu.bij.pl/44/lz.htm(Exploit.GLWorldHanGamePluginCn18.a)
            [script]http://aeu.bij.pl/44/oopk.jpg
                [color=red][virus]http://aex.bij.pl/l/nl.exe[/color]
            [script]http://aeu.bij.pl/44/ll1.jpg
            [script]http://aeu.bij.pl/44/lz.jpg
    [iframe]http://aeu.bij.pl/44/real.htm
        [exp]http://aeu.bij.pl/44/myra.htm(Exploit.RealPlayerIerpplug.b)
            [script]http://aeu.bij.pl/44/myr.jpg
                [color=red][virus]http://aex.bij.pl/l/nl.exe[/color]
    [iframe]http://aeu.bij.pl/44/rising.htm
        [exp]http://aeu.bij.pl/44/ofnt.htm(Exploit.OfficeSpreadsheet.a)
            [script]http://aeu.bij.pl/44/oopk.jpg
            [script]http://aeu.bij.pl/44/uug.jpg

闲扯:
1,这个网马利用漏洞识别是基于解密后的页面来做的,有时候因为识别的需求来调整解密函数,调整了解密后也需要对应的修改漏洞识别函数,绕啊绕,囧了。
2,到后来网马利用漏洞识别的特征添加几乎是个体力活了,以后有空再慢慢搞吧,这个小东东已经费我不少时间,该学习了。
3,费劲心血的MDScan.dll加了个Themida的壳,可能会被一些敏感的杀软报毒,请自行判断后决定是否使用。

2 Replies to “MDecoder 0.50,新增网马利用漏洞识别”

  1. 嗯,越来越完善了,向着产品级作品迈进……
    呵呵……继续支持麦田,麦田继续无私工作。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

*