论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
逆向
[14103] 2019-05-13_逆向分析“海莲花”APT木马的花指令反混淆工具
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
逆向
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-58
6万
主题
-6万
回帖
-58
积分
管理员
积分
-58
发消息
2019-05-13_逆向分析“海莲花”APT木马的花指令反混淆工具
逆
向
分
析
“
海
莲
花
”
A
P
T
木
马
的
花
指
令
反
混
淆
工
具
c
l
o
u
d
s
F
r
e
e
B
u
f
2
0
1
9
-
0
5
-
1
3
本
文
中
,
本
文
中
,
C
h
e
c
k
P
o
i
n
t
研
究
人
员
基
于
对
研
究
人
员
基
于
对
“
海
莲
花
海
莲
花
”
木
马
程
序
的
分
析
,
编
写
了
一
段
绕
过
其
混
淆
技
术
的
反
混
淆
工
具
木
马
程
序
的
分
析
,
编
写
了
一
段
绕
过
其
混
淆
技
术
的
反
混
淆
工
具
-
A
P
T
3
2
G
r
a
p
h
D
e
o
b
f
u
s
c
a
t
o
r
.
p
y
,
在
逆
向
分
析
过
程
中
,
利
用
该
工
具
,
最
终
可
以
消
除
混
淆
指
令
,
清
晰
地
显
示
出
,
在
逆
向
分
析
过
程
中
,
利
用
该
工
具
,
最
终
可
以
消
除
混
淆
指
令
,
清
晰
地
显
示
出
“
海
莲
海
莲
花
花
”
木
马
的
运
行
调
用
流
程
,
对
木
马
分
析
和
相
关
安
全
研
究
人
员
有
借
鉴
帮
助
之
用
。
木
马
的
运
行
调
用
流
程
,
对
木
马
分
析
和
相
关
安
全
研
究
人
员
有
借
鉴
帮
助
之
用
。
“
海
莲
花
”
A
P
T
组
织
(
A
P
T
3
2
)
,
具
备
越
南
背
景
的
A
P
T
攻
击
组
织
,
以
东
亚
国
家
为
主
要
目
标
,
以
在
越
外
企
和
目
标
国
家
特
定
机
构
为
主
要
渗
透
对
象
。
就
目
前
的
各
家
分
析
报
告
来
看
,
“
海
莲
花
”
利
用
的
网
络
工
具
和
相
关
技
术
非
常
广
泛
多
变
,
其
中
有
高
级
的
漏
洞
利
用
手
段
,
也
有
非
常
简
单
的
恶
意
工
具
,
有
自
研
的
攻
击
组
件
,
也
有
商
业
和
开
源
的
代
码
套
装
,
如
M
i
m
i
k
a
t
z
和
C
o
b
a
l
t
S
t
r
i
k
e
。
利
用
捆
绑
木
马
的
文
件
为
诱
饵
,
从
其
中
的
d
r
o
p
p
e
r
s
或
s
h
e
l
l
c
o
d
e
中
释
放
或
运
行
主
要
的
恶
意
程
序
。
经
多
个
测
试
分
析
案
例
可
见
,
“
海
莲
花
”
组
织
利
用
的
木
马
程
序
和
相
关
工
具
都
经
过
了
复
杂
的
混
淆
编
码
,
为
了
阻
止
或
迷
惑
逆
向
分
析
人
员
,
在
其
中
添
加
了
各
种
“
障
眼
”
的
混
淆
技
术
,
经
验
老
道
。
该
反
混
淆
工
具
需
要
基
于
开
源
逆
向
分
析
工
具
r
a
d
a
r
e
2
的
界
面
框
架
C
u
t
t
e
r
,
C
u
t
t
e
r
是
跨
平
台
工
具
,
目
的
就
是
以
界
面
方
式
直
观
友
好
地
显
示
r
a
d
a
r
e
2
的
分
析
原
理
。
上
个
月
,
C
u
t
t
e
r
官
方
引
入
了
一
个
新
的
P
y
t
h
o
n
插
件
,
C
h
e
c
k
P
o
i
n
t
也
将
在
下
面
的
反
混
淆
工
具
编
写
中
用
到
该
工
具
。
(
想
查
看
该
工
具
,
请
直
接
到
以
下
想
查
看
该
工
具
,
请
直
接
到
以
下
“
反
混
淆
脚
本
反
混
淆
脚
本
”
部
份
部
份
)
下
载
安
装
下
载
安
装
C
u
t
t
e
r
大
家
可
以
选
择
从
这
里
下
载
最
新
版
本
的
C
u
t
t
e
r
,
如
果
你
用
的
是
L
i
n
u
x
系
统
,
可
以
使
用
应
用
镜
像
方
式
下
载
安
装
。
C
u
t
t
e
r
最
终
的
运
行
界
面
如
下
:
“
海
莲
花
海
莲
花
”
A
P
T
组
织
使
用
的
木
马
组
织
使
用
的
木
马
首
先
,
我
们
来
看
看
“
海
莲
花
”
组
织
使
用
的
木
马
和
相
关
程
序
样
本
,
这
里
这
个
样
本
4
8
6
b
e
6
b
1
e
c
7
3
d
9
8
f
d
d
3
9
9
9
a
b
e
2
f
a
0
4
3
6
8
9
3
3
a
2
e
c
,
是
木
马
感
染
链
中
的
一
个
恶
意
程
序
,
也
是
C
h
e
c
k
P
o
i
n
t
在
最
近
才
捕
获
发
现
的
,
其
所
有
的
运
行
特
征
和
“
海
莲
花
”
组
织
高
度
相
似
,
尤
其
是
和
早
期
的
恶
意
诱
饵
文
档
1
1
5
f
3
c
b
5
b
d
f
b
2
f
f
e
5
1
6
8
e
c
b
3
6
b
9
a
e
d
5
4
非
常
接
近
。
在
早
期
的
恶
意
诱
饵
文
档
中
,
“
海
莲
花
”
组
织
在
捆
绑
的
木
马
中
包
含
了
一
段
V
B
A
宏
代
码
,
用
它
来
向
受
害
者
系
统
的
r
u
n
d
l
l
3
2
.
e
x
e
进
程
中
注
入
了
恶
意
s
h
e
l
l
c
o
d
e
,
该
s
h
e
l
l
c
o
d
e
中
又
包
含
了
用
于
后
续
解
码
和
向
内
存
中
反
射
加
载
d
l
l
文
件
的
解
码
程
序
段
,
加
载
进
内
存
的
d
l
l
文
件
中
就
包
含
了
木
马
的
一
个
大
概
运
行
逻
辑
流
程
。
在
后
续
感
染
阶
段
,
木
马
会
从
相
关
文
件
资
源
中
解
码
出
一
个
配
置
文
件
,
该
配
置
文
件
存
储
了
诸
如
C
2
服
务
器
等
木
马
运
行
反
弹
信
息
。
接
下
来
,
相
关
程
序
段
会
尝
试
用
定
制
的
P
E
l
o
a
d
e
r
往
内
存
中
加
载
一
个
辅
助
D
L
L
,
该
D
L
L
名
为
H
T
T
P
P
r
o
v
.
d
l
l
,
能
实
现
与
C
2
服
务
器
的
通
信
。
“
海
莲
花
”
组
织
在
其
木
马
程
序
使
用
了
大
量
的
混
淆
技
术
,
尤
其
是
大
堆
大
堆
的
花
指
令
(
J
u
n
k
C
o
d
e
)
,
这
些
花
指
令
经
常
让
木
马
分
析
人
员
迷
失
方
向
。
另
外
由
于
逆
向
工
具
大
多
时
候
都
只
认
栈
指
针
,
不
能
自
动
识
别
一
些
无
关
函
数
,
所
以
也
就
造
成
了
我
们
在
逆
向
分
析
中
的
难
度
。
“
海
莲
花
海
莲
花
”
A
P
T
木
马
的
混
淆
技
术
木
马
的
混
淆
技
术
在
我
们
对
“
海
莲
花
”
木
马
的
逆
向
分
析
中
可
见
,
其
中
一
个
主
要
混
淆
技
术
就
是
,
在
相
关
运
行
函
数
中
大
量
插
入
使
用
花
指
令
(
J
u
n
k
C
o
d
e
)
形
成
控
制
流
混
淆
,
这
些
插
入
的
花
指
令
基
本
都
是
毫
无
意
义
的
代
码
块
。
如
下
:
在
上
图
中
,
几
乎
整
个
代
码
块
都
充
满
了
花
指
令
,
当
然
能
完
全
忽
略
这
些
花
指
令
块
就
好
了
,
但
是
实
际
分
析
中
还
是
相
对
较
难
。
仔
细
分
析
这
些
花
指
令
块
,
我
们
也
能
发
现
一
些
有
意
思
的
地
方
,
这
些
混
淆
块
都
是
由
前
一
个
块
的
失
效
跳
转
而
来
,
且
都
是
条
件
跳
转
。
而
且
,
每
个
混
淆
块
都
以
一
个
条
件
跳
转
结
束
,
这
种
条
件
跳
转
与
前
一
个
混
淆
块
的
跳
转
相
反
。
比
如
说
,
上
图
代
码
块
中
的
末
尾
跳
转
条
件
为
j
o
,
则
其
混
淆
块
就
会
以
j
n
o
结
尾
;
如
果
上
图
代
码
块
以
j
n
e
结
尾
,
则
其
接
下
来
的
混
淆
块
就
会
是
以
j
e
结
尾
。
示
例
如
下
:
基
于
上
述
分
析
判
断
,
我
们
可
以
开
始
构
建
这
些
混
淆
块
的
特
征
,
混
淆
的
第
一
个
特
征
是
出
现
两
个
连
续
的
块
,
而
且
,
它
们
以
相
反
的
条
件
跳
转
到
相
同
的
目
标
地
址
而
结
束
。
另
一
个
特
性
要
求
第
二
个
块
不
包
含
有
意
义
的
指
令
,
如
字
符
串
引
用
或
调
用
。
当
满
足
这
两
个
特
征
时
,
我
们
可
以
说
第
二
个
块
很
有
可
能
是
混
淆
块
。
在
这
种
情
况
下
,
我
们
希
望
第
一
个
块
跳
过
第
二
个
混
淆
块
,
这
样
混
淆
块
就
会
从
我
们
的
逆
向
分
析
流
程
图
中
消
失
。
这
种
情
况
下
,
我
们
可
以
用
无
条
件
跳
转
,
也
就
是
简
单
的
J
M
P
指
令
,
来
替
换
其
中
的
条
件
跳
转
实
现
混
淆
块
绕
过
。
如
下
:
反
混
淆
脚
本
(
反
混
淆
脚
本
(
D
e
o
b
f
u
s
c
a
t
o
r
)
)
我
们
基
于
C
u
t
t
e
r
编
写
了
反
混
淆
脚
本
-
A
P
T
3
2
G
r
a
p
h
D
e
o
b
f
u
s
c
a
t
o
r
,
它
可
以
形
成
一
个
插
件
(
P
l
u
g
i
n
)
导
入
C
u
t
t
e
r
插
件
库
,
同
时
它
可
通
过
r
2
p
i
p
e
方
式
与
r
a
d
a
r
e
2
进
行
命
令
行
交
互
。
把
该
脚
本
形
成
插
件
导
入
C
u
t
t
e
r
插
件
库
:
以
A
P
T
3
2
某
恶
意
程
序
逆
向
过
程
中
的
f
c
n
.
0
0
a
c
c
7
e
0
函
数
为
例
,
一
开
始
逆
向
工
具
分
析
运
行
调
用
流
程
图
中
,
混
淆
指
令
块
为
以
下
高
亮
红
色
部
分
:
用
C
h
e
c
k
P
o
i
n
t
编
写
的
A
P
T
3
2
G
r
a
p
h
D
e
o
b
f
u
s
c
a
t
o
r
进
行
反
混
淆
之
后
,
我
们
得
到
以
下
去
混
淆
的
运
行
调
用
流
程
图
:
以
下
是
去
混
淆
前
后
的
对
比
流
程
图
,
非
常
直
观
:
总
结
总
结
“
海
莲
花
”
A
P
T
组
织
使
用
的
木
马
混
淆
技
术
并
不
是
非
常
复
杂
难
以
破
解
的
,
本
文
中
C
h
e
c
k
P
o
i
n
t
基
于
样
本
分
析
,
提
出
了
一
种
反
混
淆
解
决
方
案
,
以
C
u
t
t
e
r
和
R
a
d
a
r
e
2
为
框
架
,
利
用
P
y
t
h
o
n
脚
本
,
最
终
成
功
实
现
了
对
“
海
莲
花
”
A
P
T
木
马
的
反
混
淆
,
大
大
方
便
了
逆
向
分
析
人
员
进
一
步
对
“
海
莲
花
”
A
P
T
木
马
的
深
入
剖
析
。
*
参
考
来
源
:
参
考
来
源
:
c
h
e
c
k
p
o
i
n
t
,
,
c
l
o
u
d
s
编
译
,
转
载
请
注
明
来
自
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
推
荐
阅
读
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页