网马解密每日一练（七） bbs.ikaka.com

networkedition - 2010-3-4 14:51:00

引用:

要分析的链接地址：http://www.d2lifeonline.com:81/mpeg2/mpeg2.html

要求：将解密重要过程截图上传，并附最终解密日志，跟帖回复即可，并设置隐藏[hide][/hide]，附件（图）设置权限为255
解密工具：freshow、redoce、在线解密：http://issmall.isgreat.org/等。

注意事项：1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具，直接踢出实习生学习组
2、使用解密工具解密时，如遇安全软件拦截，请暂时关闭监控即可
3、最终的网马地址一定要禁用url。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: mpeg2.rar

DragonKid - 2010-3-4 15:02:00

附件: 2.jpg

梅罗 - 2010-3-4 15:04:00

小棉花ZY - 2010-3-4 15:20:00

念初 - 2010-3-4 15:46:00

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

附件: 2.jpg

Iris1011 - 2010-3-4 16:00:00

附件: 0.png

by02304501 - 2010-3-4 16:46:00

附件: 网马解密七.rar

小傻大呆 - 2010-3-4 17:45:00

附件: 您所在的用户组无法下载或查看附件

完颜无泪 - 2010-3-4 18:18:00

随缘92WJC - 2010-3-4 18:39:00

柠檬elf - 2010-3-4 19:04:00

附件: log.txt

辛达星郁 - 2010-3-4 19:54:00

附件: 您所在的用户组无法下载或查看附件

迷失の坏坏 - 2010-3-4 20:14:00

SpeW - 2010-3-4 20:30:00

附件: 您所在的用户组无法下载或查看附件

hqvip - 2010-3-4 21:14:00

jks_风 - 2010-3-4 21:28:00

附件: 您所在的用户组无法下载或查看附件

防潮生生世世 - 2010-3-4 21:54:00

附件: 1.jpg

附件: 2.jpg

暗夜的雪 - 2010-3-4 21:55:00

微米天空 - 2010-3-4 22:08:00

附件: 您所在的用户组无法下载或查看附件

飘零の翼 - 2010-3-4 22:09:00

[hide]
SHELLCODE加密密钥21

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 1.txt

hglbird - 2010-3-4 23:34:00

漂流使者 - 2010-3-5 1:06:00

[hide]
使用freshow或下载附件得到网页源代码
分析源代码中的特征码

发现shellcode特征，输入密钥“21”后两次ESC发现现网马地址

附件: 您所在的用户组无法下载或查看附件

那个关于密钥21我也是看论坛力有人说的
至于为什么还不太理解，希望老师发个讲解贴

日志：Log is generated by FreShow.
[wide]http://www.d2lifeonline.com:81/mpeg2/mpeg2.html
[object]http://www.d2lifeonline.com:81/zhl/mpeg2.exe!http://127.0.0.1/1.exe

[/hide]

Luke8 - 2010-3-5 1:29:00

瑞星卡卡安全论坛