瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密练习(三)
networkedition - 2009-7-29 10:39:00
看了一下练习二大家完成的不错,继续努力。再这里单独表扬一下Qos同学,该同学能积极完成练习题,并多次参加恶意网站交流区网马悬赏解密,解密答案均正确,希望其他实习生都能向他学习,也欢迎大家到恶意网站交流区,解密中遇到问题可以在实习生区和恶意网站交流区发帖提问。另外,建议大家可以多看看恶意网站交流区的解密教程。

恶意链接地址如下:http://killffix.9966.org/3/go1.jpg,由于网马失效性很快,如链接地址失效(不需要再使用freshow的check功能获取源代码)直接使用附件内容进行解密,方法:将要解密的网址粘贴至url区,将附件源代码内容粘贴至freshow上操作区域,进行后续解密即可。
练习要求:将解密重要过程截图上传,并附解密出日志,跟帖回复即可,设置隐藏。
解密工具为:freshow
注意:解密过程中如遇杀毒软件拦截,暂时关闭监控即可,解密完成后再开启监控。提供网马解密方法不会导致系统中毒
小提示:大家在进行今天解密前,参考一下此教程:http://bbs.ikaka.com/showtopic-8640152.aspx,之后再尝试练习解密。
附件为该恶意链接地址源文件,地址失效可以使用附件内容进行解密,注意:以记事本方式打开,可看到源代码

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: go1.rar
费天王 - 2009-7-29 12:01:00
出现sorry beyong function 是怎么回事
学飞的龙 - 2009-7-29 13:14:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
然后经过一次ESC,再一次enumXOR解密后

 附件: 您所在的用户组无法下载或查看附件
最终得到

 附件: 您所在的用户组无法下载或查看附件

附件: 111.JPG

附件: 1.JPG
daemonz - 2009-7-29 13:57:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
学飞的龙 - 2009-7-29 14:10:00
***** 该内容需回复才可浏览 *****
费天王 - 2009-7-29 15:28:00
http://bbs.ikaka.com/showtopic-8640152.aspx我用老师原文代码也出现这情况
QoS - 2009-7-29 15:31:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
daemonz - 2009-7-29 15:36:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
daemonz - 2009-7-29 15:51:00
把最后单引号和它后面的删掉就好了,谢谢
Alice418 - 2009-7-29 16:09:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
networkedition - 2009-7-29 16:43:00
先要将解密的shellcode部分进行手动处理,删除不必要的字符,这样再使用enumXOR就不会出现sorry beyong function
networkedition - 2009-7-29 16:44:00
多复制字符了吧,一定要去除多余字符。只留shellcode部分
gvista - 2009-7-29 17:46:00
***** 该内容需回复才可浏览 *****


附件: 2.JPG
我是天边的风 - 2009-7-29 18:26:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
黑洞之光 - 2009-7-29 19:37:00
老师我有个问题,怎么把不必要的字符删去啊,难道要手动一个个删?眼都花了...
还有应该已经把多余字符都删了还是显示sorry beyong function ,怎么回事
凡尘之沙 - 2009-7-29 19:39:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
merrk_chuan - 2009-7-29 19:56:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
黑洞之光 - 2009-7-29 19:57:00
Log is generated by FreShow.
[wide]http://killffix.9966.org/3/go1.jpg
    [object]http://xiqiji.cn/h/v3.exe

删去无用代码

 附件: 您所在的用户组无法下载或查看附件
一次ESC

 附件: 您所在的用户组无法下载或查看附件
一次enumXOR

 附件: 您所在的用户组无法下载或查看附件
Lighting_Cui - 2009-7-30 18:11:00
Log is generated by FreShow.
[wide]http://killffix.9966.org/3/go1.jpg
    [object]http://xiqiji.cn/h/v3.exe

地址貌似失效了。。下载的压缩文件解得~
phoenixeagle - 2009-7-30 18:22:00
Log is generated by FreShow.
[wide]http://killffix.9966.org/3/go1.jpg
[object]http://xiqiji.cn/h/v3.exe
基牛 - 2009-7-30 21:24:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
幽灵楠 - 2009-7-31 0:05:00
***** 该内容需回复才可浏览 *****


附件: QQ截图未命名2.jpg
幽灵楠 - 2009-7-31 0:08:00
刚开始删除多余的代码的是很美注意删多了.
后来又删少了...真汗...
最后搞定.,
networkedition - 2009-7-31 10:22:00
解密过程重要部分截图呢:kaka2:
still刀刀 - 2009-8-4 17:50:00

 附件: 您所在的用户组无法下载或查看附件
Log is generated by FreShow.
    [object]http://xiqiji.cn/h/v3.exe

通过这个例子更加明白处理代码 去掉多余代码的重要性,
只有取得完全正确的shellcode类型的
才可能分析出网马地址
hglbird - 2010-2-13 16:20:00
***** 该内容需回复才可浏览 *****


附件: 3.jpg

附件: 5.jpg
hglbird - 2010-2-13 16:21:00
***** 该内容需回复才可浏览 *****


附件: 3.jpg

附件: 5.jpg

附件: 7.jpg
念初 - 2010-3-28 13:14:00
哈乎,我不知道我的办法是不是有点笨,留下shellcode之后
我是先用空格替换'+'  ,然后再nuls去掉空格
一次esc一次enumxor
1
查看完整版本: 网马解密练习(三)
© 2000 - 2026 Rising Corp. Ltd.