瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 关于网马解密工具之——Redoce (二)的补充
networkedition - 2009-6-16 10:19:00


引用:
首先在这里先感谢一下轩辕小聪的版主指点,在网马解密工具之——Redoce (二)一文中我们讲解了redoce的%uX功能,即猜解带XOR加密的shellcode功能。而之前讲解freshow并没有此功能,经过小聪版主指点,在这里补充讲解一下,实际上freshow是具备此功能的。引用小聪版主的讲解"freshow的enumXOR功能就是这个功能。该功能与Redoce的%uX是一致的,即通过自动枚举猜解来获得单字节XOR加密的密钥"。

   
 

引用:
为了便于大家对此功能了解,单独作为一篇补充教程来进行讲解吧。接下来演示一下如何使用freshow的enumXOR功能来解密带XOR加密的shellcode。


 

引用:
在这里还是以网马解密工具之——Redoce (二)一文中实例:hxxp://ccndk822.cn/a/set.js来进行讲解。







用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition - 2009-6-16 10:26:00


首先还是使用replace功能将gfds替换为%u,去除头尾内容,在这里我们只留替换好的shellcode这部分。为了便于解密,建议大家可将整个中间要替换部分复制出来,再使用replace替换功能进行操作。
networkedition - 2009-6-16 10:32:00


上图为单独将shellcode部分复制出来,再使用replace进行替换。替换后我们先使用esc功能将其变为%x形式,详见下列截图
networkedition - 2009-6-16 10:38:00


接下来解密选项选择enumXOR,点击decode按钮进行解密。此时会弹出一个对话框,内容为"Match!XOR BCh.",点击确定后,解密出网马地址。详见下列截图
networkedition - 2009-6-16 10:41:00



点击确定后解密出网马地址下图:

networkedition - 2009-6-16 10:50:00
再补充说明一下,大家可能会有些疑惑,怎么解密出网马地址和关于网马解密工具之——Redoce (二)一文,网马地址不一样,原因是网马又更新了,网页挂马更新是很快的,失效性也是很快的。
networkedition - 2009-6-16 14:14:00
再看一个实例:hxxp://www.zlflawyer.com/cc/7.css

networkedition - 2009-6-16 14:16:00
点击filter进行替换,使用esc将代码变为\x形式,接下来解密选项选择enumXOR,点击decode按钮解密。详见下列截图:

networkedition - 2009-6-16 14:17:00
whynotloveme - 2009-6-24 10:13:00
很多字符不懂啊
1
查看完整版本: 关于网马解密工具之——Redoce (二)的补充
© 2000 - 2024 Rising Corp. Ltd.