[讨论]通过加密流来躲过杀毒软件的特征码查杀(解密无需输入密码)-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[讨论]通过加密流来躲过杀毒软件的特征码查杀(解密无需输入密码)

发表于: 2012-12-15 20:20 7541

[讨论]通过加密流来躲过杀毒软件的特征码查杀(解密无需输入密码)

冰翼show

2012-12-15 20:20

7541

以前对这种方法早有耳闻，但是一直未能一见。
近来拿到一POC，分析下来发现里面的数据流经过了excel自带的加密功能加密过，但是奇怪的是，双击打开后，无需输入密码，就直接触发了漏洞。本人对这一技术的实现方式十分好奇，希望大家可以讨论下，将其实现方式搞懂。加密后，免杀的效果杠杠的~

不私藏，附上POC test.rar
环境：xp+office2003，捆绑exe为计算器。
附上本人邮箱：[EMAIL="695473585@qq.com"]695473585@qq.com[/EMAIL]

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

test.rar （183.33kb，187次下载）

收藏・9

免费・0

支持

最新回复 (25) 1 2 ▶
qduliyang 雪币： 52 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 2 楼在bb5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0A6L8Y4k6#2L8q4)9J5k6h3y4G2L8g2)9J5c8W2!0q4y4q4!0n7z5q4)9^5b7g2!0q4z5q4!0m8y4#2)9^5x3g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2)9%4c8g2!0o6x3W2!0n7y4H3`.`. 0dcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0A6L8Y4k6#2L8q4)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6i4N6@1K9s2u0W2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6@1K9h3c8Q4x3@1b7J5x3e0k6Q4x3U0k6W2P5s2c8J5j5g2)9K6c8s2m8S2k6$3g2Q4x3U0f1K6c8o6p5`. 2012-12-15 22:26 0
swddswdd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	swddswdd 3 楼我用xp+office 2003 打开什么鸟也没有啊，没有执行exe 2012-12-16 00:27 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 4 楼该POC最初由于某些因素没有在BinVul上发布。确实值得一看。 2012-12-16 15:37 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 5 楼免杀效果确实很好,估计很快就不好了. 2012-12-16 15:43 0
guobing 雪币： 14774 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 6 楼好一个数据流啊.,不懂.. 2012-12-16 17:10 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 7 楼 ms09-067,这个洞触发很ez的.而且楼主这个是打开就触发,构造合适的话可以关闭触发的. 另外这个文档看起来是加密的而打开不用输密码,那是因为xls的功能上支持自动输密码.关键点在2f00那个recoder.你把 2f 00 c0 00 01 00 02 00改为 2f 00 c0 00 00 00 00 00再试试. FILEPASS: File Is Password‑ Protected (2Fh) If you type a protection password (File menu, Save As command, Options dialog box), the FILEPASS record appears in the BIFF file. The wProtPass field contains the encrypted password. All records after FILEPASS are encrypted. Note : this record specifies a file protection password, as opposed to the PASSWORD record (type 13h), which specifies a sheet-level or workbook-level protection password. Record Data Offset Field Name Size Contents 4 wProtPass 4 Encrypted password 2012-12-16 18:34 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 8 楼先传两个POC,一个是已加密的,一个是未加密的. POC.rar 上传的附件： POC.rar （12.58kb，65次下载） 2012-12-16 19:48 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 9 楼你好，谢谢，你的回答很详细。不过我注意到了一个问题，我双击打开xls 他是可以触发漏洞的，但是我先打开excel然后再加载这个poc时，就不能触发，这个问题很奇怪... 另外，不知道你能不能详细的说下xls的自动输入密码？我对这个比较好奇，呵呵 2012-12-17 16:03 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 10 楼 [QUOTE=dEARMoON;1126118]先传两个POC,一个是已加密的,一个是未加密的. POC.rar[/QUOTE] 谢谢你提供的这两个POC，这些天有点另外的事情，所以没来的和大家及时交流... 2012-12-17 16:04 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 11 楼 [QUOTE=dEARMoON;1126118]先传两个POC,一个是已加密的,一个是未加密的. POC.rar[/QUOTE] 不知能否分享一下加密过程！ 2012-12-18 10:18 0
wsmfgf 雪币： 144 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 58 粉丝 0 关注私信	wsmfgf 12 楼 [QUOTE=dEARMoON;1126118]先传两个POC,一个是已加密的,一个是未加密的. POC.rar[/QUOTE] 呵呵,原来关键就是那个加密口令了有本事换个口令,再做出一份不需要输入口令就能自动打开的poc出来,我就彻底服你们了 2012-12-19 22:42 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 13 楼的确啊不知道要如何调试？命令行也不行 2012-12-20 11:03 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 14 楼我用windbg 加载了explorer进程然后调试是可以的，不过出现了些我搞不懂的情况，你可以试下 2012-12-20 18:47 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 15 楼这玩意儿没啥难度.小技巧而已.提示一下大家吧.密码是特殊的. 2012-12-20 20:38 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 16 楼请您不要卖关子，介绍一下这个特殊密码嘛 2012-12-20 21:15 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 17 楼算了不档人家的财路.我都提示得很明显了哥.... 2012-12-20 21:28 0
cmdhz 雪币： 345 活跃值： (152) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 18 楼我自己走了一遍调试过程，还有点意思。应该算是一个彩蛋吧。令人觉得惊奇的是金山的 wps里也有这样的彩蛋，不知道是什么原因。 2012-12-28 22:06 0
wsmfgf 雪币： 144 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 58 粉丝 0 关注私信	wsmfgf 19 楼这个问题,用中国人的最出名的那个名词就可以理解了 wps只不过是换了个界面封装了一下,改了个名字,我相信核心部分应该是直接使用人家的动态库的 2012-12-29 09:33 0
cmdhz 雪币： 345 活跃值： (152) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 20 楼问题是，作为商业软件如果这样直接用别人的东西会不会涉及侵权？除非是已经付过版权费的。 2012-12-29 23:07 0
bandithh 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	bandithh 21 楼楼主说的确实很直白了！两个poc，一个没有加密，一个加密了。当加密的密码是默认密码时，打开加密后的poc，不会有要求输入密码的提示框出现。 excel和XX是这样的。 word就不行了，没有默认密码，因此经过数据流加密后的word文件都要输入密码。 2012-12-31 22:04 0
jeffcjh 雪币： 58 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 267 粉丝 0 关注私信	jeffcjh 22 楼我看未必，只是EXCEL的彩蛋2005年其实就被某人公布了，word或许也有只是尚未公布而已。所以说微软等大公司的产品有后门之类的其实很正常啊。 2012-12-31 23:20 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 23 楼我非常同意你的观点。。。但是这个彩蛋的挖掘有点难度啊。。 2013-1-1 10:56 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 24 楼已经在多处发了，权当元旦小礼物了。 2013-1-1 10:57 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 25 楼好技术，流传的很广啊呵呵 2013-1-1 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冰翼show

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
qduliyang 雪币： 52 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 2 楼在bb5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0A6L8Y4k6#2L8q4)9J5k6h3y4G2L8g2)9J5c8W2!0q4y4q4!0n7z5q4)9^5b7g2!0q4z5q4!0m8y4#2)9^5x3g2!0q4z5q4!0n7c8W2)9^5y4#2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2)9%4c8g2!0o6x3W2!0n7y4H3`.`. 0dcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0A6L8Y4k6#2L8q4)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6i4N6@1K9s2u0W2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6@1K9h3c8Q4x3@1b7J5x3e0k6Q4x3U0k6W2P5s2c8J5j5g2)9K6c8s2m8S2k6$3g2Q4x3U0f1K6c8o6p5`. 2012-12-15 22:26 0
swddswdd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	swddswdd 3 楼我用xp+office 2003 打开什么鸟也没有啊，没有执行exe 2012-12-16 00:27 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 4 楼该POC最初由于某些因素没有在BinVul上发布。确实值得一看。 2012-12-16 15:37 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 5 楼免杀效果确实很好,估计很快就不好了. 2012-12-16 15:43 0
guobing 雪币： 14774 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 6 楼好一个数据流啊.,不懂.. 2012-12-16 17:10 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 7 楼 ms09-067,这个洞触发很ez的.而且楼主这个是打开就触发,构造合适的话可以关闭触发的. 另外这个文档看起来是加密的而打开不用输密码,那是因为xls的功能上支持自动输密码.关键点在2f00那个recoder.你把 2f 00 c0 00 01 00 02 00改为 2f 00 c0 00 00 00 00 00再试试. FILEPASS: File Is Password‑ Protected (2Fh) If you type a protection password (File menu, Save As command, Options dialog box), the FILEPASS record appears in the BIFF file. The wProtPass field contains the encrypted password. All records after FILEPASS are encrypted. Note : this record specifies a file protection password, as opposed to the PASSWORD record (type 13h), which specifies a sheet-level or workbook-level protection password. Record Data Offset Field Name Size Contents 4 wProtPass 4 Encrypted password 2012-12-16 18:34 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 8 楼先传两个POC,一个是已加密的,一个是未加密的. POC.rar 上传的附件： POC.rar （12.58kb，65次下载） 2012-12-16 19:48 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 9 楼你好，谢谢，你的回答很详细。不过我注意到了一个问题，我双击打开xls 他是可以触发漏洞的，但是我先打开excel然后再加载这个poc时，就不能触发，这个问题很奇怪... 另外，不知道你能不能详细的说下xls的自动输入密码？我对这个比较好奇，呵呵 2012-12-17 16:03 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 10 楼 [QUOTE=dEARMoON;1126118]先传两个POC,一个是已加密的,一个是未加密的. POC.rar[/QUOTE] 谢谢你提供的这两个POC，这些天有点另外的事情，所以没来的和大家及时交流... 2012-12-17 16:04 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 11 楼 [QUOTE=dEARMoON;1126118]先传两个POC,一个是已加密的,一个是未加密的. POC.rar[/QUOTE] 不知能否分享一下加密过程！ 2012-12-18 10:18 0
wsmfgf 雪币： 144 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 58 粉丝 0 关注私信	wsmfgf 12 楼 [QUOTE=dEARMoON;1126118]先传两个POC,一个是已加密的,一个是未加密的. POC.rar[/QUOTE] 呵呵,原来关键就是那个加密口令了有本事换个口令,再做出一份不需要输入口令就能自动打开的poc出来,我就彻底服你们了 2012-12-19 22:42 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 13 楼的确啊不知道要如何调试？命令行也不行 2012-12-20 11:03 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 14 楼我用windbg 加载了explorer进程然后调试是可以的，不过出现了些我搞不懂的情况，你可以试下 2012-12-20 18:47 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 15 楼这玩意儿没啥难度.小技巧而已.提示一下大家吧.密码是特殊的. 2012-12-20 20:38 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 16 楼请您不要卖关子，介绍一下这个特殊密码嘛 2012-12-20 21:15 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 17 楼算了不档人家的财路.我都提示得很明显了哥.... 2012-12-20 21:28 0
cmdhz 雪币： 345 活跃值： (152) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 18 楼我自己走了一遍调试过程，还有点意思。应该算是一个彩蛋吧。令人觉得惊奇的是金山的 wps里也有这样的彩蛋，不知道是什么原因。 2012-12-28 22:06 0
wsmfgf 雪币： 144 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 58 粉丝 0 关注私信	wsmfgf 19 楼这个问题,用中国人的最出名的那个名词就可以理解了 wps只不过是换了个界面封装了一下,改了个名字,我相信核心部分应该是直接使用人家的动态库的 2012-12-29 09:33 0
cmdhz 雪币： 345 活跃值： (152) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 20 楼问题是，作为商业软件如果这样直接用别人的东西会不会涉及侵权？除非是已经付过版权费的。 2012-12-29 23:07 0
bandithh 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	bandithh 21 楼楼主说的确实很直白了！两个poc，一个没有加密，一个加密了。当加密的密码是默认密码时，打开加密后的poc，不会有要求输入密码的提示框出现。 excel和XX是这样的。 word就不行了，没有默认密码，因此经过数据流加密后的word文件都要输入密码。 2012-12-31 22:04 0
jeffcjh 雪币： 58 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 267 粉丝 0 关注私信	jeffcjh 22 楼我看未必，只是EXCEL的彩蛋2005年其实就被某人公布了，word或许也有只是尚未公布而已。所以说微软等大公司的产品有后门之类的其实很正常啊。 2012-12-31 23:20 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 23 楼我非常同意你的观点。。。但是这个彩蛋的挖掘有点难度啊。。 2013-1-1 10:56 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 24 楼已经在多处发了，权当元旦小礼物了。 2013-1-1 10:57 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 25 楼好技术，流传的很广啊呵呵 2013-1-1 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复