간단한 WMF exploit 검사 도구입니다.
아래의 소스 파일을 저장한다음에 윈도우의 경우엔
ruby 파일명.rb [wmf파일명]
과 같이 하시면 되고, 리눅스라면
./파일명.rb [wmf파일명]
로 하면 됩니다. 제가 루비 초보라서 코드 작성은 이정도가 한계인 듯….
이 프로그램으로 검사해서 안전했다고 안전하다고 보장은 못합니다.
제가 아는 룰 한개만 넣었으니.
#!/usr/bin/ruby
# Simple WMF Exploit Detection
file_type = {
0 => “Memory”,
1 => “Disk”,
2 => “fjear”
}
if ARGV.length != 1
puts “USAGE: wmf_detect [file_to_detect]”
Kernel.exit
end
f = File.new(ARGV[0], “rb”)
print “File type: #{file_type[f.read(2).unpack(“v”)[0]]}\n”
print “Header size(9): ”
unless f.read(2).unpack(“v”)[0] == 9
print “Header size doesn’t match. Something went wrong!\n”
Kernel.exit
else
print “Confirmed\n”
end
print “Window Version Used: #{f.read(2).unpack(“v”)[0] == 0x0300 ? “Windows 3.0 or later” : “Unknown”}\n”
print “File Size: #{f.read(4).unpack(“V”)[0] * 2} bytes\n”
print “# of objects: #{num_records = f.read(2).unpack(“v”)[0]}\n”
print “Size of the largest record: #{f.read(4).unpack(“V”)[0]}\n”
print “Zero padding: ”
unless f.read(2).unpack(“v”)[0] == 0
print “Not a zero padding. Something went wrong!\n”
Kernel.exit
else
print “Confirmed\n”
end
puts “\nHere comes the #{num_records} records…\n\n”
infected = false
for i in 1..num_records
record_size = f.read(4).unpack(“V”)[0]
function_no = f.read(2).unpack(“v”)[0]
unless record_size – 4 ==0
f.read((record_size – 3) * 2) unless record_size – 3 < = 0
else
param = f.read(2).unpack("v")[0]
if function_no & 0x0026 == 0x0026 && param == 0x09
puts "INFECTED WMF!!!!!!"
puts "-" * 50
puts "Record Size: #{record_size} bytes"
puts "Function No: 0x#{function_no.to_s(16)}"
puts "Param[0]: 0x#{param.to_s(16)}"
puts "-" * 50
infected = true
break
else
f.read((record_size - 4) * 2) unless record_size - 4 <= 0
end
end
end
unless infected
puts "This is a safe file"
end
puts "\nScanning done."
f.close
[/code]
Leave a Reply