瑞星卡卡安全论坛

恶意链接地址如下：http://fgyyyc.3322.org/a0036159/../wewew.js，由于网马失效性很快，如链接地址失效（不需要再使用freshow的check功能获取源代码）直接使用附件内容进行解密，方法：将要解密的网址粘贴至url区，将附件源代码内容粘贴至freshow上操作区域，进行后续解密即可。
练习要求：将解密重要过程截图上传，并附解密出日志，跟帖回复即可，设置隐藏。
解密工具为：freshow
注意：解密过程中如遇杀毒软件拦截，暂时关闭监控即可，解密完成后再开启监控。提供网马解密方法不会导致系统中毒。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: wewew.rar

老师 我将所得代码复制到文本文档中
并将document.write  改为alert ,文件改成htm格式了,可是运行后,我点允许阻止的内容,然后出下面


 附件: 您所在的用户组无法下载或查看附件

我点是之后没有弹出对话框

该用户帖子内容已被屏蔽

这个终于抢到前三了。

替换为alert就可以了,存为html文件，一切搞定。
 附件: 您所在的用户组无法下载或查看附件

附件: 2.jpg

附件: 2.png

http://liz.8866.org:8808/Baidu.cab

 附件: 您所在的用户组无法下载或查看附件

附件: 1.jpg

前十名，欧也\(^o^)/

附件: 解密.rar

附件: 8.jpg

代码中有eval  和document.write 字符
所以判断是eval  和document.write 加密
把他们替换成alert
保存为htm运行
===============================

 附件: 您所在的用户组无法下载或查看附件

Log is generated by FreShow.
    [object]http://liz.8866.org:8808/Baidu.cab

恩？ 我和楼上两位同学的LOG不一样哦。。。那个是exe是怎么出来的哦:kaka2:

:kaka6:
咋解也是带exe的
使用神器解出也是这个结果的
但是真实地址只是cab

Log is generated by FreShow.
    [object]Baidu.exe
    [object]http://liz.8866.org:8808/Baidu.cab
又整了下、
好像和大家的还是不一样:kaka6:
如果没有解出exe 可以说 解密没完全

拉到神器里运行
eval替换为alert

你发的截图，弹出对话框http://liz.8866.org:8808/Baidu.cab的后面不是有个baidu.exe嘛:kaka6:  把baidu.cab替换为baidu.exe不就行了。

 附件: 您所在的用户组无法下载或查看附件

Log is generated by FreShow.
    [object]http://liz.8866.org:8808/Baidu.exe
    [object]http://liz.8866.org:8808/Baidu.cab
谢谢小狮子和老师点拨！

http://liz.8866.org:8808/Baidu.cab

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

看下答案