瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密每日一练(四)
networkedition - 2010-3-1 14:56:00


引用:
要分析的链接地址:http://roadtunnel.chd.edu.cn/dede/coimg/1047.html

要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
DragonKid - 2010-3-1 15:10:00
***** 该内容需回复才可浏览 *****
梅罗 - 2010-3-1 15:13:00
***** 该内容需回复才可浏览 *****
hqvip - 2010-3-1 15:19:00
***** 该内容需回复才可浏览 *****


附件: 1.jpg
念初 - 2010-3-1 15:24:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
筠林碧湫 - 2010-3-1 15:37:00
***** 该内容需回复才可浏览 *****
完颜无泪 - 2010-3-1 16:29:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 4.jpg
wanghy11111 - 2010-3-1 16:32:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 4.jpg
柠檬elf - 2010-3-1 17:17:00
***** 该内容需回复才可浏览 *****


附件: 3.1(2).jpg

附件: log.txt
随缘92WJC - 2010-3-1 17:42:00
***** 该内容需回复才可浏览 *****
小棉花ZY - 2010-3-1 17:50:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 4.jpg
by02304501 - 2010-3-1 18:11:00
***** 该内容需回复才可浏览 *****
小傻大呆 - 2010-3-1 20:43:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
WangAnwu - 2010-3-1 21:01:00
***** 该内容需回复才可浏览 *****
Luke8 - 2010-3-1 21:34:00
***** 该内容需回复才可浏览 *****


附件: 新建 文本文档.txt
jks_风 - 2010-3-1 21:56:00
***** 该内容需回复才可浏览 *****
[/hide]


 附件: 您所在的用户组无法下载或查看附件
防潮生生世世 - 2010-3-1 22:04:00
***** 该内容需回复才可浏览 *****


附件: 1.jpg

附件: 2.jpg

附件: 3.jpg

附件: 4.jpg

附件: 1.jpg

附件: 2.jpg

附件: 3.jpg

附件: 2.jpg
暗夜的雪 - 2010-3-1 22:28:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
漂流使者 - 2010-3-2 0:22:00
[hide]
使用freshow或下载附件得到网页源代码
分析源代码中的特征码
1.未找到加密特点
2.发现代码中有其他连接,点击Filter后右侧出现3个连接


 附件: 您所在的用户组无法下载或查看附件                     
3.其中发现[frame]http://bbs.gz7c.com/api/spa/logo.html?爱123 地址中有两个图片连接分别为[script]http://bbs.gz7c.com/api/spa/a.jpg” [script]http://bbs.gz7c.com/api/spa/a.jpg 其他地址无异常。

 附件: 您所在的用户组无法下载或查看附件
4.分析者两个连接后在[script]http://bbs.gz7c.com/api/spa/a.jpg中发现shellcode加密特征

 附件: 您所在的用户组无法下载或查看附件
由于已替换为%u所以两次ESC后发现网马地址:
 附件: 您所在的用户组无法下载或查看附件

将地址输入freshow并导出日志


日志文件:Log is generated by FreShow.
            [wide]http://roadtunnel.chd.edu.cn/dede/coimg/1047.html
            [frame]http://bbs.gz7c.com/api/spa/logo.html?爱123
            [script]http://bbs.gz7c.com/api/spa/a.jpg
            [object]http://bbs.gz7c.com/api/spa/2hl.exe
            [script]http://bbs.gz7c.com/api/spa/b.jpg
            [script]http://js.users.51.la/3553941.js
[/hide]
迷失の坏坏 - 2010-3-2 8:49:00
***** 该内容需回复才可浏览 *****
1
查看完整版本: 网马解密每日一练(四)
© 2000 - 2026 Rising Corp. Ltd.