瑞星卡卡安全论坛

[hide]
代码中有documet.write，所以选用alert

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 解密日志.txt

附件: 第一步Check.jpg

附件: 第二步.jpg

附件: 第三步.jpg

附件: 1.png

附件: 2.png

附件: 3.png

附件: 4.png

附件: log.txt

[hide]
 附件: 您所在的用户组无法下载或查看附件[/hide]
提问：networkedition老师eval和document.write代码特征有什么明显的区别，为什么这个网页只有修改document.write才有作用？难道这个网页中的eval是假的没有作用是来诱导我们的？

附件: 1.rar

 附件: 您所在的用户组无法下载或查看附件
该恶意url通过一漏洞加载恶意exe。

解密过程相对简单。

附件: 2.8练习2.jpg

附件: 1.txt

///
[hide]
1

 附件: 您所在的用户组无法下载或查看附件
2222\
2
2

 附件: 您所在的用户组无法下载或查看附件
3

 附件: 您所在的用户组无法下载或查看附件
w 
网马就是hXXp://im.94q.net/server.exe"
[/hide]

附件: 2.jpg

附件: 4.jpg

[hide]
采用alert代替d.w

 附件: 您所在的用户组无法下载或查看附件
保存为htm格式打开可得网马地址如下图：（也可采用redoce解密中的Document.write清楚选项获得）

 附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: German+Paul2月8日网马日志.txt

半夜完成任务。。哈哈！:kaka1:

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

附件: sunshienhao网马练习（1）.rar

附件: 1.jpg

[hide]
方法1：替换法
使用freshow或下载附件得到网页源代码

 附件: 您所在的用户组无法下载或查看附件
一.分析源代码中的特征码
1.未找到alpha2、shellcode、base64、us-ascII、winwebail加密特点

2.发现代码中有eval 和document.write

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件
三．分析并找出连接
使用替换法先将eval替换为alert，保存为网页并运行后弹出提示框，但未发现连接，

 附件: 您所在的用户组无法下载或查看附件
还原为原始代码后将document.write 替换为 alert 弹出提示框，发现连接
 

 附件: 您所在的用户组无法下载或查看附件

将地址输入freshow并导出日志
日志：Log is generated by FreShow.
      [wide]http://zeichuan.91.tc/1.htm
      [object]http://im.94q.net/server.exe

方法2使用redoce
1.在redoce地址栏输入地址 点GO获得网页代码
2.在解密项选择“D>Document.Write清除”则可得到连接

 附件: 您所在的用户组无法下载或查看附件
日志： 关于:hxxp://zeichuan.91.tc/1.htm解密的日志(全体输出 -
2):
Level
0>htp:/zeichuan.91.tc/1.htm
Level
1>htp:/im.94q.net/server.exe
日志由 Redoce1.9第26次修正版于 2010-2-9 4:25:58 生成。


老师我基础差 第二种方法不算自动解密吧？
[/hide]

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

> 解密: Document.Write还原.
= [之前:4475 之后:928] (完成)


关于:解密的日志(全体输出 -  1):
Level  1>http://im.94q.net/server.exe
日志由 Redoce2.0第77次修正版于 2010-2-9 上午 05:31:39 生成。

[hide]
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件[/hide]