瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密每日一练(十)
networkedition - 2010-3-9 15:09:00


引用:
解密文件见附件
要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: pdf.rar
networkedition - 2010-3-9 15:46:00
使用附件的低版本的redoce来解密

附件: decoder.rar
完颜无泪 - 2010-3-9 16:49:00
***** 该内容需回复才可浏览 *****


附件: 12.JPG
梅罗 - 2010-3-9 16:53:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
小棉花ZY - 2010-3-9 17:47:00

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件
暗夜的雪 - 2010-3-9 18:04:00
***** 该内容需回复才可浏览 *****


附件: QQ截图未命名2.png
Iris1011 - 2010-3-9 18:25:00
***** 该内容需回复才可浏览 *****


附件: 1.png

附件: 2.png

附件: 0.png

附件: 3.png
小傻大呆 - 2010-3-9 18:26:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
DragonKid - 2010-3-9 18:33:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
随缘92WJC - 2010-3-9 18:40:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
辛达星郁 - 2010-3-9 18:44:00

 附件: 您所在的用户组无法下载或查看附件

附件: 2.jpg

附件: 3.jpg
hqvip - 2010-3-9 20:09:00
***** 该内容需回复才可浏览 *****


附件: 未命名1.jpg

附件: 未命名3.jpg
念初 - 2010-3-9 20:21:00
***** 该内容需回复才可浏览 *****
图就不截了。。。。哭死我了
微米天空 - 2010-3-9 20:27:00
***** 该内容需回复才可浏览 *****


附件: 02.jpg
jks_风 - 2010-3-9 20:32:00

 附件: 您所在的用户组无法下载或查看附件这个是PDF的,我自己只是做到了PDF解密,后来就不会做了,在梅罗那里知道了eval,才解出来。额,完全没用过神器,对网吗解密方面还是有很多问题。需要学习。

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件
柠檬elf - 2010-3-9 22:05:00
***** 该内容需回复才可浏览 *****


附件: 3.9 3.jpg
SpeW - 2010-3-9 22:27:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件
suanxuejing - 2010-3-9 22:48:00
***** 该内容需回复才可浏览 *****
谢谢梅罗,后面的两步是看了梅罗帖子才懂的。

附件: 5.png
by02304501 - 2010-3-9 23:04:00
***** 该内容需回复才可浏览 *****


附件: 网马解密十.rar
Luke8 - 2010-3-9 23:57:00
***** 该内容需回复才可浏览 *****
我这次作业是看梅罗的,不是自己亲自做出来的。这次就算我没交吧
hglbird - 2010-3-10 0:09:00
来参考一下。
竹枝雨 - 2010-3-10 1:08:00
[hide]
今天的作业我学习到了pdf的网马解密,另外还有 神器 的使用
步骤如下:
1、打开HtmlDecoder.exe,然后如下操作

 附件: 您所在的用户组无法下载或查看附件

2.将解压出的pdf发送到主窗口,如下图


 附件: 您所在的用户组无法下载或查看附件


3.将主窗口中的代码,进行eval解密,将代码复制到 神器中,然后Run Script,弹出eval() results。

 附件: 您所在的用户组无法下载或查看附件


4.按照结果的目录找到相应文件,再用记事本打开

 附件: 您所在的用户组无法下载或查看附件

5.将代码复制到Freshow中进行解密,是shellcode类型,经过两次esc 解密后,得到如下结果:

 附件: 您所在的用户组无法下载或查看附件

其中网马地址是http://googlenew.cn/mmm/exe.php
[/hide]
防潮生生世世 - 2010-3-10 2:33:00
说实话,看了楼上的还是不会做
坐等老师的正确答案
1
查看完整版本: 网马解密每日一练(十)
© 2000 - 2026 Rising Corp. Ltd.