Sothink SWF Decompiler (绿色版下载见附件)解密步骤:
PS.附件里有3个利用Flash player漏洞造成溢出而执行任意代码的swf文件,供大家一起研究。
1.运行SWFDecompiler.exe
2.载入带有恶意代码的swf文件
3.浏览右侧的“资源”框,查看“图片”资源
4.打开swf文件所附带的图片(事实上这里swf文件加载的并不是图片文件,而是含有恶意代码的特殊代码段),如图:
5.在“十六进制”框内查看该图片的代码,即能找到所挂的马或恶意代码,如图:
上面两个是Flash1.swf 和Flash2.swf的挂马地址,而下面这个则是i1231.swf中包含的恶意代码,该恶意代码也存在挂马。。。但是不会解,有待高手来解密。。
1.某些网上挂的swf并非含有恶意代码的文件,而是通过脚本函数loadMovie()来载入真正含有恶意代码的swf文件来挂马的,解密时需要注意
2.运行Sothink SWF Decompiler 前请将其加入防火墙的黑名单,阻止其联网。否则当碰到上述注意事项中类型的swf文件时,将会联网载入恶意swf文件。
www.newjian.com
您的位置: 
