瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 恶意网站交流区网马解密悬赏第二十八期(已结束)
networkedition - 2009-8-13 13:06:00


引用:
http://jnfile.focus.cn/file/1052/baofengyingyin.html



引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        [url=http://www.cha88.cn/
http://www.cha88.cn/[/quote[/url]]
   

引用:
注:卡卡反病毒小组成员禁止参加


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
是昔流芳 - 2009-8-13 13:27:00
Log is generated by FreShow.
[wide]http://jnfile.focus.cn/file/1052/baofengyingyin.html
    [object]http://www.wuhunmu.cn/down/ma.exe

先翻转代码,然后整理一下,去除无用部分。尔后是一个没有密匙的Shellcode加密,解完后即是结果。
Lighting_Cui - 2009-8-13 13:32:00
Log is generated by FreShow.
[wide]http://jnfile.focus.cn/file/1052/baofengyingyin.html
    [object]http://www.wuhunmu.cn/down/ma.exe


首先CHECKC出来观察。。。很乱u%  还有>lmth/<、>ydob/< 猜测可能是吧所有字符顺序颠倒


试着把document.write改为alert,如果不行只能手工写脚本了。


结果成功


然后对代码简单整理



2次ESC 解出
networkedition - 2009-8-13 13:45:00
没有那么复杂,用freshow的reverse翻转功能,翻转代码后再解密即可。不用隐藏,完成的还是不错。
Lighting_Cui - 2009-8-13 13:56:00


引用:
原帖由 networkedition 于 2009-8-13 13:45:00 发表
没有那么复杂,用freshow的reverse翻转功能,翻转代码后再解密即可。不用隐藏,完成的还是不错。


啊啊 刚刚试验了 果然OK~~  呵呵  对这个工具还是不熟练啊~~ :kaka18:
1
查看完整版本: 恶意网站交流区网马解密悬赏第二十八期(已结束)
© 2000 - 2024 Rising Corp. Ltd.