简介JS脚本病毒解密及相关分析方法
2017-05-04 16:25
232 查看
0x00 相关背景: 在最近,发现通过邮件发送加密后的js脚本病毒比较猖獗,身边刚好有一个同事在接收到的邮件中,单击链接后发现中了敲诈勒索木马,基本是大多数的文件被加密了,严重危害了用户的信息安全。0x01 JS脚本解密: 起初看到加密后的js脚本,无从下手,只是知道其下载了相关的敲诈木马程序并运行了;最终通过百度查找js解密相关,国内已经有了相关的文章(1秒破解 js packer 加密http://www.cnblogs.com/52cik/p/js-unpacker.html)。其主要是通过浏览器自带的开发者工具(F12),把加密的代码, 删除开头 eval 这4个字母,按回车就能得到我们需要的原脚本。因为分析的这个样本涉及到公司内部信息,这里就只是简单叙述一下,怎么去解密脚本,得到需要的原脚本。下图一是自己测试所得到的原脚本信息。
0x02 分析样本相关 通过原js脚本获取可知,其是下载了一个exe文件,然后运行它。通过调试发现,其是又重新创建一个自身进程,然后向这个进程中写入完整的PE文件信息(核心功能),然后唤起线程后则会分别开几个线程来实现各种的功能。这里实现功能就不介绍了。这里就分析一下自己的调试分析所走的歪路吧。其一,本来想通过重新开启OD附加相同的子进程中,结果发现没有显示,最终宣告失败。其二,通过创建了一个notepad进行来替换其子进程,然后让其写入PE信息,最终在调试过程中一直宣告失败。最后就直接在远程写入pe信息时,直接在数据窗口找到PE头,然后复制完整个PE信息后点击“备份”--->“保存数据到文件”,则会直接dump下了我们所需要研究的那部分PE文件。然后就可以愉快的分析了。如下图所示:
转载请注明文章转载自:http://youngs-rsr.blog.163.com/blog/static/2484320132015117115112136/#
0x02 分析样本相关 通过原js脚本获取可知,其是下载了一个exe文件,然后运行它。通过调试发现,其是又重新创建一个自身进程,然后向这个进程中写入完整的PE文件信息(核心功能),然后唤起线程后则会分别开几个线程来实现各种的功能。这里实现功能就不介绍了。这里就分析一下自己的调试分析所走的歪路吧。其一,本来想通过重新开启OD附加相同的子进程中,结果发现没有显示,最终宣告失败。其二,通过创建了一个notepad进行来替换其子进程,然后让其写入PE信息,最终在调试过程中一直宣告失败。最后就直接在远程写入pe信息时,直接在数据窗口找到PE头,然后复制完整个PE信息后点击“备份”--->“保存数据到文件”,则会直接dump下了我们所需要研究的那部分PE文件。然后就可以愉快的分析了。如下图所示:
转载请注明文章转载自:http://youngs-rsr.blog.163.com/blog/static/2484320132015117115112136/#
相关文章推荐
- JavaScript加密解密7种方法总结分析
- 投入产出分析方法简介以及投入产出表
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析 .
- Windows远程桌面简介及相关故障的解决方法
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android View绘制流程以及invalidate()等相关方法分析
- C#启动windows服务方法的相关问题分析
- 结构化系统分析和设计方法简介
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- JavaScript加密解密7种方法总结分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析
- Android中View绘制流程以及invalidate()等相关方法分析