本文主要是介绍CHM木马的分析与利用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
前言
CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型文件是“无公害”文档文件。PHP大马
偶然获得了一个过X60启动的CHM木马,由于从未接触过此类木马,遂进行一番学习,并通过木马所带来的启发再创造。
一、木马行为分析
CHM文件是经过压缩的各类资源的集合,使用7z解压软件直接打开木马样本,如图所示,可以发现CHM文件内部包含一个说明.html文件。
打开说明.HTM文件可以发现里面存着混淆过的JS脚本代码:
进行一番解密并写下粗略的注释 PS:本人并未学过JS 所以并不懂JS 以下有任何错误请大家指出
这篇关于CHM木马的分析与利用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!