攻防实战：深入剖析最新IE7.0 0day漏洞利用代码

后面我们就不贴出来了。

作者对该代码做了一个简单的加密处理：

var infect=unescape(sc.replace(/dadong/g,"x25x75"));

我们用“,0x”替换“dadong”这个字符串，将shellcode保存为.c文件进行反汇编调试

Shellcode也做了一个简单的加密处理，呵呵

00421A4C　 xor　　　　 byte ptr [eax],21h
00421A4F　 inc　　　　 eax
00421A50　 loop　　　　shellcode+1Ch (00421a4c)异或了一个0X21，解密shellcode后00421A52　 call　　　　shellcode+35Dh (00421d8d)

执行shellcode代码了

这里我们就不详细的跟进去了，看一下解密后的shellcode文件，下载地址已经暴露出来了

http://www.baikec.cn/down/ko.exe，如图10所示。

图10 获取shellcode中的下载地址

说明：

可以将这个地址进行修改变换，笔者将该地址换成了本机的一个测试地址后，同样溢出成功，如图11所示。

图11 更改下载地址后同样溢出成功

2 .分析可疑文件

我们看看ko.exe到底做了什么事情，先查下壳，用UPX加的壳，如图11所示。