瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » http://blog.91.cn/(博客——就医网)
networkedition - 2010-2-27 11:27:00
关于:hxxp://blog.91.cn/group.asp?gid=10&pid=556解密的日志(全体输出 -  12):

Level  0>http://blog.91.cn/group.asp?gid=10&pid=556
Level  1>http://big5.91.cn:81/gate/big5/blog.91.cn/group.asp?gid=10
Level  1>http://w212.2.wwvv.us/images/css/swf.swf
Level  2>http://wwv2.8vv.wwvv.us/images/css/bf.htm
Level  2>http://wvv23v.wwvv.us/images/css/dom.htm
Level  2>http://v2.vv2.wwvv.us/images/css/of.htm
Level  2>http://w324.vv.wwvv.us/images/css/ff.htm
Level  2>http://vww32.vv.wwvv.us/images/css/tj.htm
Level  2>http://wvw21.vv.wwvv.us/images/css/mepeg.htm
Level  3>http://wvw21.vv.wwvv.us/images/css/dj.jpg
Level  4>http://vvvv.wwvv.us/images/css/css.swf ●
Level  4>http://wvw21.vv.wwvv.us/images/css/dj1.jpg

日志由 Redoce2.0第87次修正版于 2010-2-27 11:27:10 生成。
暗夜的雪 - 2010-2-27 14:32:00
Log is generated by FreShow.
[wide]http://blog.91.cn/group.asp?gid=10&pid=556
    [script]http://blog.91.cn/oBlogStyle/group/menu.js
    [script]http://blog.91.cn/inc/main.js
    [script]http://blog.91.cn/ad/ad_teamtopjs.htm
    [script]http://w212.2.wwvv.us/images/css/swf.swf
        [frame]http://wvw21.vv.wwvv.us/images/css/mepeg.htm
            [script]http://wvw21.vv.wwvv.us/images/css/dj.jpg
                [object]http://vvvv.wwvv.us/images/css/css.swf
            [script]http://wvw21.vv.wwvv.us/images/css/dj1.jpg
        [frame]http://vww32.vv.wwvv.us/images/css/tj.htm
        [frame]http://w324.vv.wwvv.us/images/css/ff.htm
        [frame]http://v2.vv2.wwvv.us/images/css/of.htm
        [frame]http://wvv23v.wwvv.us/images/css/dom.htm
        [frame]http://wwv2.8vv.wwvv.us/images/css/bf.htm
    [script]http://blog.91.cn/ad/ad_teambotjs.htm
老天啊~~ 这东西真的很有训练价值。。
用Freshow无法获取源码,然后用了Recoder获取,粘回Freshow解密,其中一个脚本还用到了神器的脚本运行功能,最终获取代码,用了3次ESC才解出最后的网吗。

老师有一点我不明白,最后的网吗是个SWF??难道是改成后缀EXE就是网马了么?会不会要用到SWF解密?虚拟机连不上网,不敢用实机测试哦~
小傻大呆 - 2010-2-27 17:27:00
老大,这个我用FRESHOW  显示DNS失败
用RECODER可以获取
但是一般比较习惯使用FRESHOW的过滤功能
RECODER的过滤玩不转
您可以给指点下不?
您的RECODER里面设置,解密设置里面的给张截图好吗?参考下您是如何设置的
谢谢老大
by02304501 - 2010-2-27 19:28:00
个人认为,可以先用freshow过滤,然后把freshow不能解的让RECODER分析。
看过了所有置顶贴里面的recoder视频教程,没有特别提到解密设置的问题。
上面的网马在解到http://wvw21.vv.wwvv.us/images/css/mepeg.htm的时候开始使用RECODER,选中一个空格--右键点击“删除选中字符”--解密document.write--可得dj.jpg和dj1.jpg--解dj.jpg的时候还是删除空格,再把代码送到freshow里面去,连续三次用ESC进行decode.即得网马地址。
小傻大呆 - 2010-2-27 20:39:00
谢谢你给的思路
但是还是想要个RECODER的设置
如果可以用一个工具的干啥非要两个工具呢...

现在帖子里的确没有设计设置的问题,那些我也看过了,嘿嘿
by02304501 - 2010-2-27 21:13:00
呵呵确实学学设置要方便得多了~~
还是等老师来讲吧:kaka1: ~
1
查看完整版本: http://blog.91.cn/(博客——就医网)