瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马解密悬赏第四十六期(已结束)
networkedition - 2010-2-27 15:23:00


引用:
http://www.wowop.tk:315/index.htm




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: index.rar
是昔流芳 - 2010-2-27 16:11:00


引用:

关于:hxxp://www.wowop.tk:315/index.htm解密的日志(全体输出 -  3):

Level  0>http://www.wowop.tk:315/index.htm
Level  1>http://www.wowop.tk/down/op.exe  ●
Level  1>http://www.wowop.tk:315/GSl.gif

analyzed by 是昔流芳


好猥琐啊:default11:
暗夜的雪 - 2010-2-27 16:43:00
/x 转义,把原来window里的转义码改回eavl (感谢”是昔“给出提示) 然后改为输出,得到shellcode,但是我只解出一个,另一个GIF没有找到:
Log is generated by FreShow.
[unknown]hxxp://www.wowop.tk:315/index.htm
    [object]http://www.wowop.tk/down/op.exe
networkedition - 2010-2-27 16:45:00
那个gif应该是用来触发的,不是网马。所利用的漏洞为极光。
是昔流芳 - 2010-2-27 16:51:00
我发一下我自己的步骤哈:kaka3:
这个代码得到以后可以看到有\x转义,所以将其复原后可以看到代码的头部有一个eval,但是将它改为alert后并没有弹出有效的信息,这说明改的东西有点多了。
那么再回到原来的代码中,把window["\x65\x76\x61\x6c"]替换为window["alert"] 其余部分不变
然后保存,运行。
我这里火狐弹了满满一屏,全选后复制就可以得到解密后的代码。
1
查看完整版本: 网马解密悬赏第四十六期(已结束)
© 2000 - 2024 Rising Corp. Ltd.