主要观点总结
本文详细介绍了ABC_123对多层加密的内存马进行分析解密的过程。文章包括前言、技术研究过程和总结三部分。在技术研究过程中,作者详细描述了内存马的三层加密解密过程,包括JSP的Webshell内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。文章的主要目的是找到内存马的流量特征,以便在安全设备中监控和溯源分析攻击行为。
关键观点总结
关键观点1: 内存马多层加密解密的过程介绍
作者详细描述了内存马的三层加密解密过程,包括Webshell的内容分析、Java代码的反混淆和解密分析以及第三层加密的解密分析。
关键观点2: 内存马流量特征的找到
通过分析解密混淆的java代码,作者找到了内存马的流量特征,即当header请求头“User-Agent”包含“.1.2.2”时,会走内存马webshell流程。
关键观点3: 内存马反编译的目的
内存马反编译的主要目的是为了找到内存马通信的流量特征,以便在流量监控设备中找到相应攻击者的流量,进行溯源分析。
文章预览
Part1 前言 大家好,我是ABC_123 。一年一度的“大型攻防比赛”已经过去2、3个月了,在此期间陆续收到了多名网友发来的内存马样本,ABC_123一直在抽时间进行分析解密工作。现在很多的内存马都进行了加密混淆,而且一个比一个复杂;不禁感叹攻防都是相对的,道高一尺魔高一丈。 对于内存马的解密分析,主要目的除了证明其是内存马代码之外,还要找到其流量特征,以备在安全设备中找到含有相应特征的流量,然后进行溯源分析 ,也可能发现完整的0day攻击链条。本篇文章中的内存马套了多层加密,ABC_123将完整解密过程分享给大家。 Part2 技术研究过程 第一层:JSP的Webshell内容分析 样本首先是一个jsp的webshell,初始内容如下:大体看了一下,发现是通过java反射编写的,将三段字符串合并然后base64解密,然后再进行加载,这样做会有一个很
………………………………