瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 第一期网马解密心得交流(网址已更新)
networkedition - 2009-6-4 10:05:00


引用:
网马解密系列教程陆续更新了不少,网马解密应该是注重实战,今天找了一个恶意网址,来检验一下对网马解密感兴趣的网友,对网马解密知识掌握了多少。希望对网马解密感兴趣网友都来积极参加。本帖主要目的提供大家一个交流网马解密交流心得的平台。如果大家觉得这个方法不错,对网马解密提高有很大帮助,后续会陆续开展相关讨论。


 

引用:
要求:大家将此恶意网址:http://mba.dlut.edu.cn解密过程及相关截图(重要几个步骤)发表上来,将最后解密结果也可以发送上来,如果在解密过程中遇到问题,也可一并跟帖发送上来,我们将会详细加以指点,使得大家网马解密水平能更上一个台阶。


        相关资料:可参考教程:网马解密系列教程——6.3号更新(winwebmail解密)

  我先来个抛砖引玉吧,O(∩_∩)O~

Log is generated by FreShow.
[wide]http://mba.dlut.edu.cn
    [script]http://www.yiwucnc.com/member/css/js/js.js
        [frame]http://www.26199.com.cn/bao2/y.htm
            [frame]http://www.26199.com.cn/bao2/index.htm


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
09kaka - 2009-6-4 10:44:00
我的做法是 对所有都先用Decode 、Up然后在filter
Log is generated by FreShow.
[wide]http://www.hzycedu.com
[script]http://www.hzycedu.com/js/BaseFunction.js
[frame]http://www.hzycedu.com/scrollnews.asp
[frame]http://www.hzycedu.com/slideshow.asp
[script]http://wvg9.cn
[script]http://wvg2.cn
[script]http://wvg3.cn
[script]http://wvg4.cn

之后http://wvg9.cnhttp://wvg2.cnhttp://wvg3.cnhttp://wvg4.cn全都失效了吧。。。
networkedition - 2009-6-4 10:57:00
ms都失效了,出题前还试了没有失效。:kaka6:
happysunday2003 - 2009-6-4 21:07:00
还没看呢

加分顶起
幸福耗子 - 2009-6-4 21:20:00
关于:hxxp://www.26199.com.cn/bao2/index.htm解密的日志(全体输出 -  31):

Level  0>http://www.26199.com.cn/bao2/index.htm
Level  1>http://www.26199.com.cn/bao2/yy.htm
Level  2>http://www.26199.com.cn/bao2/14.js
Level  3>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/flash.htm
Level  2>http://www.26199.com.cn/bao2/fgg.html
Level  2>http://www.26199.com.cn/bao2/iggg.html
Level  1>http://www.26199.com.cn/bao2/ippp.htm
Level  2>http://www.26199.com.cn/bao2/real.html
Level  3>http://www.26199.com.cn/bao2/re11.js
Level  4>http://www.23899.com.cn/bao.exe  ●
Level  2>http://www.26199.com.cn/bao2/r.htm
Level  3>http://www.26199.com.cn/bao2/real.js
Level  1>http://www.26199.com.cn/bao2/ip.htm
Level  2>http://www.26199.com.cn/bao2/bf.htm
Level  3>http://www.26199.com.cn/bao2/bf.js
Level  4>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/02.htm
Level  2>http://www.26199.com.cn/bao2/set.js
Level  3>http://www.ddddxxx14.cn/00.css  ●
Level  1>http://www.26199.com.cn/bao2/lz.htm
Level  2>http://www.26199.com.cn/bao2/lz.js
Level  1>http://www.26199.com.cn/bao2/office.htm
Level  2>http://www.26199.com.cn/bao2/office.js
Level  3>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/pef.htm
Level  2>http://www.26199.com.cn/bao2/pef.pdf
Level  3>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/qb.htm
Level  2>http://www.26199.com.cn/bao2/qb.js
Level  3>http://www.23899.com.cn/bao.exe  ●

此网址由幸福的耗子解密(本人博客www.mouse0232.com)
09kaka - 2009-6-5 9:57:00
Level  2>http://www.26199.com.cn/bao2/set.js
Level  3>http://www.ddddxxx14.cn/00.css
为什么 将Game替换为%u,使用freshow两次esc 再用us-ascII 得不到 Level  3>http://www.ddddxxx14.cn/00.css:kaka9:
networkedition - 2009-6-5 10:59:00
将Game替换为%u,到这步没有问题,但替换为标准shellcode格式后这个shellcode实际上是带密钥的(XORbc)密钥为bc,再第二次esc前要输入密钥bc后再decode,即可解出上述网址。这个是带密钥的shellcode,不是US-ASCII 加密,不要混淆。不需要再US-ASCII 解密。
幸福耗子 - 2009-6-5 11:01:00
因为最后一步需要密钥 就是在esc 按钮后面添加bc
09kaka - 2009-6-5 11:55:00
噢。。。谢谢!
我承认没好好学习:kaka14:
1
查看完整版本: 第一期网马解密心得交流(网址已更新)