瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密每日一练(六)
networkedition - 2010-3-3 12:55:00


引用:
要分析的链接地址:http://www.jci.jx.cn/news/news/news_notice_out/1637127.html

要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
暗夜的雪 - 2010-3-3 14:13:00
Log is generated by FreShow.
[wide]http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
    [script]http://www.jci.jx.cn/news/Click.asp?NewsID=09123016371215729
        [script]http://w2w.2.wwvv.us/images/css/swf.swf
            [frame]http://liudidi.9966.org/images/css/mepeg.htm
            [frame]http://liudidi.9966.org/images/css/tj.htm
            [frame]http://liudidi.9966.org/images/css/ff.htm
            [frame]http://liudidi.9966.org/images/css/of.htm
            [frame]http://liudidi.9966.org/images/css/dom.htm
            [frame]http://liudidi.9966.org/images/css/bf.htm
    [script]http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729
        [script]http://w2w.2.wwvv.us/images/css/swf.swf
            [frame]http://liudidi.9966.org/images/css/mepeg.htm
                [script]http://liudidi.9966.org/images/css/dj.jpg
                    [object]http://vvvv.wwvv.us/images/css/css.swf
                [script]http://liudidi.9966.org/images/css/dj1.jpg      (这个里面有一个logo.gif  但是好像没有网马)
            [frame]http://liudidi.9966.org/images/css/tj.htm
                [script]http://count45.51yes.com/click.aspx?id=457288414&logo=1
                    [frame]http://count45.51yes.com/sa.aspx?id=457288414'+yesdata+'
            [frame]http://liudidi.9966.org/images/css/ff.htm
                [script]http://liudidi.9966.org/images/css/go.js
                    [object]http://vvvv.wwvv.us/images/css/css.swf
            [frame]http://liudidi.9966.org/images/css/of.htm
                [script]http://liudidi.9966.org/images/css/of.js
                    [object]http://vvvv.wwvv.us/images/css/css.swf
            [frame]http://liudidi.9966.org/images/css/dom.htm
                    [object]http://vvvv.wwvv.us/images/css/css.swf
            [frame]http://liudidi.9966.org/images/css/bf.htm
                    [object]http://vwv.wwvv.us/images/css/css.swf
上部分的网马和下半部分网马地址相同,因此只分析了下半部分。
1、 [frame]http://liudidi.9966.org/images/css/mepeg.htm
这个里面用Freshow获得不了源码,于是使用了recoder获取源码,发现这个源码是一段脚本程序,于是想到使用“神器”的运行脚本功能进行解密:

 附件: 您所在的用户组无法下载或查看附件
解密下半部分有一段代码,就是上面的mepeg.htm所运行后的代码,粘回Freshow,Filter一下,得到了 [script]http://liudidi.9966.org/images/css/dj.jpg 这个文件。这个文件中,发现是一段16进制加密后的shellcode,经过三次的ESC,得到网马!

 附件: 您所在的用户组无法下载或查看附件
2、http://liudidi.9966.org/images/css/of.htm  同理也是一个脚本程序,用神器可以得到of.js的脚本

 附件: 您所在的用户组无法下载或查看附件
http://liudidi.9966.org/images/css/of.js 获取源码之后,经过3次ESC,可以得到最后的网马!
3、http://count45.51yes.com/click.aspx?id=457288414&logo=1
这个解密以后,需要分析源代码,发现里面有一个doucumt。write,但是我替换之后,发现直接显示在了网页上,于是我在开头和结尾加入了脚本标签。
但不知道是浏览器原因还是什么原因,显示了如下内容,其中的fream非常长,获取的网址没有进一步的信息:

 附件: 您所在的用户组无法下载或查看附件
4、http://liudidi.9966.org/images/css/dom.htm
发现有document.write  清除以后出现如下代码,发现又是一段脚本。。头大啊  5555555555

 附件: 您所在的用户组无法下载或查看附件
最后可以2次ESC得到网马地址  http://vwv.wwvv.us/images/css/css.swf
5、http://liudidi.9966.org/images/css/bf.htm
这个获取源码之后,发现又有eavl又有document.write,瞬间有点头晕。。而且看来是一种被变换了的10进制加密。

 附件: 您所在的用户组无法下载或查看附件
替换了document,用网页没有任何东西弹出来,于是想到用recoder解。
前两天弄一个网马,瑞星杀掉了recoder。。后来发现recoder还能用,但是document清除没用了,后来重新下载了recoder,才用document清除找到了网马。

 附件: 您所在的用户组无法下载或查看附件

6、这个网址的解密:http://liudidi.9966.org/images/css/ff.htm
发现了一个脚本中含有了doucument.write于是替换成alert,弹出如下框体:

 附件: 您所在的用户组无法下载或查看附件
发现了有jo.js,获取http://liudidi.9966.org/images/css/jo.js源码后再进行三次ESC
得到网马地址。

 附件: 您所在的用户组无法下载或查看附件


补充:老师您在QQ上提醒了用recoder解密,于是我试验了一下,发现recoder和Freshow解出的网址结构不同,多出一个Freshow没有的网址:http://www.jci.jx.cn/news/news/.images/top.swf。对这个进行进一步分析之后,发现其结构和下面的两个网址完全相同,都是:
Level  3>http://liudidi.9966.org/images/css/bf.htm
Level  3>http://liudidi.9966.org/images/css/dom.htm
Level  3>http://liudidi.9966.org/images/css/of.htm
Level  3>http://liudidi.9966.org/images/css/ff.htm
Level  3>http://liudidi.9966.org/images/css/tj.htm
Level  3>http://liudidi.9966.org/images/css/mepeg.htm
这6个3级网址,分析参照上面http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729的分析步骤


关于:hxxp://www.jci.jx.cn/news/news/news_notice_out/1637127.html解密的日志(全体输出 -  13):

Level  0>http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
Level  1>http://www.jci.jx.cn/news/news/.images/top.swf
Level  2>http://www.2.wwvv.us/images/css/swf.swf
Level  3>http://liudidi.9966.org/images/css/bf.htm
Level  3>http://liudidi.9966.org/images/css/dom.htm
Level  3>http://liudidi.9966.org/images/css/of.htm
Level  3>http://liudidi.9966.org/images/css/ff.htm
Level  3>http://liudidi.9966.org/images/css/tj.htm
Level  3>http://liudidi.9966.org/images/css/mepeg.htm
Level  2>http://www.2.wwvv.us/images/css/swf.swf
Level  2>http://count1.count.xj.cn/images/images/1.css

Level  1>http://www.jci.jx.cn/news/click.asp?newsid=09123016371215729
Level  1>http://www.jci.jx.cn/news/reviewcontent.asp?newsid=09123016371215729

日志由 Redoce1.9第26次修正版于 2010-3-3 14:26:28 生成。
DragonKid - 2010-3-3 14:38:00
***** 该内容需回复才可浏览 *****


附件: 1.jpg
hqvip - 2010-3-3 14:42:00
***** 该内容需回复才可浏览 *****


附件: 未命名.jpg
梅罗 - 2010-3-3 14:58:00
***** 该内容需回复才可浏览 *****
小傻大呆 - 2010-3-3 15:05:00

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
***** 该内容需回复才可浏览 *****


附件: 2.jpg
Luke8 - 2010-3-3 15:10:00
***** 该内容需回复才可浏览 *****
小棉花ZY - 2010-3-3 15:14:00
***** 该内容需回复才可浏览 *****
完颜无泪 - 2010-3-3 15:52:00
***** 该内容需回复才可浏览 *****


附件: swf.jpg
jks_风 - 2010-3-3 17:10:00

 附件: 您所在的用户组无法下载或查看附件
***** 该内容需回复才可浏览 *****
微米天空 - 2010-3-3 17:13:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
辛达星郁 - 2010-3-3 17:23:00
***** 该内容需回复才可浏览 *****
飘零の翼 - 2010-3-3 18:06:00
[hide]老师这什么情况
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件[/hide]
Iris1011 - 2010-3-3 18:06:00
***** 该内容需回复才可浏览 *****


附件: 1.png

附件: 1.png

附件: 2.png
筠林碧湫 - 2010-3-3 18:25:00
今天的freshow有点不合作 有的链接解不出源代码 然后用迅雷下载网页再用记事本打开后和freshow解出的一样啊 没有发现其它东西 也关了防火墙 是不是在学校上网的原因呢
ty88 - 2010-3-3 18:55:00
路过,给点提示
光用freshow是无法解密的
需要自己变通,此网马对freshow做了免疫处理
辛达星郁 - 2010-3-3 19:57:00
地址虽然失效但是利用我上面的代码,自己下载练习,还是得出了地址
[object]http://vvvv.wwvv.us/images/css/css.swf
几乎解密出来的地址都是上面的那个

简单说一下,其实很简单只要是document.write这个代码
直接替换或者直接用Recoder清除就行了

哎,想想也没有什么难的,开始快把我急坏了。回过头来想了想其实没有什么难的,对付这样的网马加密地址,最主要要有内心慢慢来,慢慢解。
最后,总会从中悟出方法的。

但是这个flash怎么下载呢??

通过这次的练习,我想下次应该没有问题了。
ty88 - 2010-3-3 21:08:00
那SWF根本就是PE文件,不是动画
WangAnwu - 2010-3-3 21:40:00
***** 该内容需回复才可浏览 *****
by02304501 - 2010-3-3 22:24:00
[hide]
Log is generated by FreShow.
[wide]http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
    [script]http://www.jci.jx.cn/news/Click.asp?NewsID=09123016371215729
    [script]http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729
        [script]http://w2w.wwvv.us/images/css/swf.swf
        [frame]http://liudidi.9966.org/images/css/mepeg.htm
            [script]http://liudidi.9966.org/images/css/dj.jpg
                [object]http://vvvv.wwvv.us/images/css/css.swf
            [script]http://liudidi.9966.org/images/css/dj1.jpg
        [frame]http://liudidi.9966.org/images/css/tj.htm
            [script]http://count45.51yes.com/click.aspx?id=457288414&logo=1
                [frame]http://count45.51yes.com/sa.aspx?id=457288414'+yesdata+'
        [frame]http://liudidi.9966.org/images/css/ff.htm
            [script]http://liudidi.9966.org/images/css/go.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/of.htm
            [script]http://liudidi.9966.org/images/css/of.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/dom.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/bf.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf

解这个网马的方法主要是freshow 和Redoce的配合使用以及document.write和shellcode的解密。

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/1.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/2.jpg[/img]

使用Redoce解出第一个document.write.

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/3.jpg[/img]

使用 freshow不能解出http://liudidi.9966.org/images/css/mepeg.htm,因而利用Redoce,方法是,选中一个空格,然后右键点击“删除选中字符”,即得标准代码。如下图:



[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/4.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/5.jpg[/img]

即解得dj.jpg.和dj1.jpg。复制到freshow中去:

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/6.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/7.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/8.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/9.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/10.jpg[/img]


点击三次ESC Decode,得出网马。

以下同理。并附图:

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/11.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/12.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/13.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/14.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/15.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/16.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/17.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/18.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/19.jpg[/img]

[\hide]
by02304501 - 2010-3-3 22:32:00
[hide]
Log is generated by FreShow.
[wide]http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
    [script]http://www.jci.jx.cn/news/Click.asp?NewsID=09123016371215729
    [script]http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729
        [script]http://w2w.wwvv.us/images/css/swf.swf
        [frame]http://liudidi.9966.org/images/css/mepeg.htm
            [script]http://liudidi.9966.org/images/css/dj.jpg
                [object]http://vvvv.wwvv.us/images/css/css.swf
            [script]http://liudidi.9966.org/images/css/dj1.jpg
        [frame]http://liudidi.9966.org/images/css/tj.htm
            [script]http://count45.51yes.com/click.aspx?id=457288414&logo=1
                [frame]http://count45.51yes.com/sa.aspx?id=457288414'+yesdata+'
        [frame]http://liudidi.9966.org/images/css/ff.htm
            [script]http://liudidi.9966.org/images/css/go.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/of.htm
            [script]http://liudidi.9966.org/images/css/of.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/dom.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/bf.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf

解这个网马的方法主要是freshow 和Redoce的配合使用以及document.write和shellcode的解密。

使用Redoce解出第一个document.write.
使用 freshow不能解出http://liudidi.9966.org/images/css/mepeg.htm,因而利用Redoce,方法是,选中一个空格,然后右键点击“删除选中字符”,即得标准代码。
解得dj.jpg.和dj1.jpg。复制到freshow中去,
三次ESC 解得网马地址。其他的同理。截图请见附件。
[\hide]

附件: 网马作业六.rar
hglbird - 2010-3-3 22:44:00
郁闷了,试了很长时间,没做出来。
念初 - 2010-3-4 0:34:00
***** 该内容需回复才可浏览 *****
防潮生生世世 - 2010-3-4 5:45:00
***** 该内容需回复才可浏览 *****
1
查看完整版本: 网马解密每日一练(六)
© 2000 - 2026 Rising Corp. Ltd.