hqvip - 2010-2-5 18:19:00
实践中出现问题:
hxxp://www.89189.com/service/services.html
解析到[img]www.89189.com/service/what.jpg[/img]时不知道怎么向下进行了,向老师求救:kaka4:
一小时前的 现在应该还有效
ty88 - 2010-2-5 19:04:00
AHWM4627AHWMA8EEAHWMd5dbAHWMc9c9AHWM87cdAHWM9292AHWMcacaAHWM93caAHWM8a8dAHWM8a8dAHWM938eAHWMd2deAHWM92d0AHWM92c9AHWM93dfAHWMdccfAHWMbdcfAHWMbd
观察代码把AHWM换成%U然后用密匙BD解密
解密出来是
http://www.07073.com/t/b.rar
hqvip - 2010-2-5 19:25:00
都是变量 为什么只处理这一个可以得到结果 ;其他的 比如AH04 或者AH01+AH02+AH03+AH04+AH05+ANHEI之类的组合都得不到或者不进行处理?
:kaka4: 多谢多谢
SpeW - 2010-2-5 19:28:00
常见挂马方式4里面 "方式后面的照添,更改木马地址就可以了是什么意思?" 能不能整个用代码表示啊?不要用中文行吗?
suanxuejing - 2010-2-5 20:23:00
[img]file:///D:/Program%20Files/QQ/Users/272957902/Image/)~[]VQSX8[(%2Y21`TQ$M`D.jpg[/img]兄弟姐妹们,这里的connected是怎么出来的呀?
hqvip - 2010-2-5 22:44:00
555…… 不是按照函数的调用入口加密啊? 比如对我问到的这种问题 不需要用到上一层的调用?
学生水平太菜 实在愚笨 还望老师耐心解答:kaka4:
ty88 - 2010-2-5 22:55:00
shellcode和程序是相通的目前没有个明确定义
我们暂且理解为十六进制形式的机器语言
游览器解密的过程中是吧这些组合按照定义还原成原来的排序在执行
还原成机器语言来执行的时候就类似一个程序了,
他要下载需要调用下载的API 执行需要执行的API,中间很多的函数过程
那些代码就是执行这些过程的
而目前对我们有意义的就是网马的下载地址
那段下载地址只是隐藏在那段代码里面,所以我们只需要管那段代码,如果你想细致的研究这些SHELLCODE那可能需要反汇编
这就不是本次课程的内容了,而且我不会无法教什么
我就是来学这个的
hqvip - 2010-2-5 23:02:00
:kaka18: 多谢教导~ 时间不早了 早点休息吧:kaka16:
happysunday2003 - 2010-2-5 23:48:00
昨天刚发现md自动解密。很不错
jks_风 - 2010-2-6 1:48:00
不好意思,老师,今天有点忙,对于webshell和shellcode我是知道的,webshell就是和网页FTP差不多的东东,一般都黑乎乎的,对吧,shellcode一般都是%\u...这样的吧,是有点和系统漏洞有关,对吧~
但是我今天看了讲义在实践的时候却是遇到了很多的问题,貌似老师给出的那个在线解密的网站失效了,能不能提供以下新的地址,或者说本地的也可以~
还有就是我那软件运行网址的时候杀软直接就拦截了,
但是我打了补丁,这样会不会中招?
我在沙河运行工具有时候shellcode解出来的貌似没法解密。。不知道啥原因,是不是在沙河里面没有运行shellcode的权限造成的啊~
麻烦了老师~
ty88 - 2010-2-6 11:29:00
部分shellcode是用BT的方法加密过的,可能普通方法不一定解得出
只要不出现0DAY那么你的补丁打齐以后很安全不会中的
防火墙拦截那就没法了只能信任或者关掉
© 2000 - 2026 Rising Corp. Ltd.