免杀迅雷PPLAYER.DLL ActiveX控件溢出漏洞
来源:互联网 发布:大数据营销策略 编辑:程序博客网 时间:2024/05/06 10:23
现在各主流杀软对IE网马的查杀规律其实比较明了,主要集中在下列几个地方:
1)ShellCode。如“var sc="%u6a90%u596a%u09eb%u805e……"”,SC一般都是以UNCIDOE形式给出的,自然是重点查杀对象,需作相应的变形。
2) 内存扩充代码。这部分代码相信大家比较熟悉,用JavaScript写的,一般整段代码都作为查杀对象。如果能从中挑出一部分代码作变形的话,躲避查杀也是有可能的。变形的方法之一就是通过String.fromCharCode函数来回切换。
3) 漏洞特征点,例如调用ActiveX的代码。以这个迅雷漏洞为例,被查杀代码为:
var size_buff = 1070;
var x = unescape("%0c%0c%0c%0c");
while (x.length<size_buff) x += x;
gl.FlvPlayerUrl = x; //尤其是这一句
OK,具体到这个漏洞免杀,通用的变形代码只需要前2点就能解决。
一是将ShellCode变形为如下代码。
其中,Document.write的输出如图1所示,直接把这个结粘贴到新的Exp中即可。
图1
二是内存扩充变形代码为:
同样,把Document.write输出结果拿来用即可。
修改后的Exp 文件exp_ms.htm,以及两部分变形代码trans1.htm和trans2.htm,我已随文提供。其中,exp_ms.htm仍然是打开calc.exe的功能,在Mcafee、Norton、Kaba以及NOD32环杀毒测试均可通过。
原文链接(黑防)
- 免杀迅雷PPLAYER.DLL ActiveX控件溢出漏洞
- 迅雷ActiveX控件远程代码执行漏洞
- FlashGet jccatch.dll ActiveX控件多个拒绝服务漏洞
- ActiveX溢出漏洞实践分析
- ActiveX控件漏洞学习
- ActiveX 控件漏洞挖掘方法
- ActiveX 控件漏洞挖掘方法
- 迅雷DownAndPlay.dll模块远程溢出
- ARP病毒加的网址利用雅虎通Webcam Viewer ActiveX控件远程栈溢出漏洞传播Worm.Delf.yqz
- 制作DLL或者ACTIVEX控件
- WIN32 DLL调用ACTIVEX控件
- ActiveX控件,ActiveX DLL,ActiveX EXE之间的差别~~
- 超星阅读器ActiveX缓冲区溢出漏洞利用-LoadPage
- 2009免杀.DLL
- DLL+ ActiveX控件+WEB页面调用例子
- DLL+ ActiveX控件+WEB页面调用例子
- DLL+ ActiveX控件+WEB页面调用例子
- DLL+ ActiveX控件+WEB页面调用例子
- 2011项目经理面试中常被问到的12问题
- 跑马灯 -- marquee
- Nokia N800开发经验
- 非阻塞式终止子进程
- Socket
- 免杀迅雷PPLAYER.DLL ActiveX控件溢出漏洞
- ServerSocket
- 使用Cscope阅读Linux源码
- What is SCons?
- Qt学习笔记(一) 第一个Qt应用程序
- 如何成为一名黑客
- void * 回调函数
- C# Devexpress 中 listBoxControl 数据拖拽
- JM解码器阅读笔记之一