浅谈利用Flash Player漏洞挂马的swf的解密个人声明： 引用:

此文章系本人原创，转载可以不注明原作者，但麻烦务必注明出处：卡饭论坛 bbs.kafan.cn

解密所需工具： 引用:

Sothink SWF Decompiler （绿色版下载见附件）
PS.附件里有3个利用Flash player漏洞造成溢出而执行任意代码的swf文件，供大家一起研究。

解密步骤： 引用:

1.运行SWFDecompiler.exe

2.载入带有恶意代码的swf文件

3.浏览右侧的“资源”框，查看“图片”资源

4.打开swf文件所附带的图片（事实上这里swf文件加载的并不是图片文件，而是含有恶意代码的特殊代码段），如图：
STEP.png (7.4 KB)
2008-5-28 03:17


5.在“十六进制”框内查看该图片的代码，即能找到所挂的马或恶意代码，如图：
FLASH1.png (18.38 KB)
2008-5-28 03:17



FLASH2.png (17.97 KB)
2008-5-28 03:17



上面两个是Flash1.swf 和Flash2.swf的挂马地址，而下面这个则是i1231.swf中包含的恶意代码，该恶意代码也存在挂马。。。但是不会解，有待高手来解密。。

i1231.png (17.72 KB)
2008-5-28 03:17

需要注意的两点： 引用:

1.某些网上挂的swf并非含有恶意代码的文件，而是通过脚本函数loadMovie()来载入真正含有恶意代码的swf文件来挂马的，解密时需要注意
2.运行Sothink SWF Decompiler 前请将其加入防火墙的黑名单，阻止其联网。否则当碰到上述注意事项中类型的swf文件时，将会联网载入恶意swf文件。

致谢： 引用:

首先要感谢的是yk1234及其提供的工具(http://bbs.kafan.cn/viewthread.php?tid=257932&page=3#pid3610211)

我也是踏着这个帖子里各位的研究方向来分析swf文件挂马的，所以还得感谢该帖子里各位分享交流个人的研究所得

这个原理好像和以前的swf插马一样吧

图片全挂，请楼主自行上传论坛，谢谢！