-
-
[旧帖] [原创]VBS蠕虫解密 0.00雪花
-
发表于: 2016-7-4 17:41
-
在会计的U盘里看到一个非常旧的VBS蠕虫。
当时我分析的时候并没有看到这个帖子:
http://bbs.pediy.com/showthread.php?p=1279167
蠕虫原脚本: source.vbs.txt
蠕虫分解为明文后: extract.vbs.txt
源代码主要有4个变量和1个解密函数
差不多这样剥了六七层才解开(高手应该可以直接从内存中或者在某一个执行层抓出源码吧……
苦逼的拆解思路图:
当时我分析的时候并没有看到这个帖子:
http://bbs.pediy.com/showthread.php?p=1279167
蠕虫原脚本: source.vbs.txt
蠕虫分解为明文后: extract.vbs.txt
源代码主要有4个变量和1个解密函数
最初代码包含
4个变量
$x, $y, $yy
$ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789
一个执行语句
execute $x
其中:
$x = {
function ub(x)
for i=1 to len(x) step 2
ub = ub & chr("&h" & (mid(x,i,2)))
next
end function
execute ub(yy)
}
$y 为一段加密代码
$yy 为一段加密代码
差不多这样剥了六七层才解开(高手应该可以直接从内存中或者在某一个执行层抓出源码吧……
苦逼的拆解思路图:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
