一个pdf解密 bbs.ikaka.com

kekao - 2010-3-28 21:34:00

搞了一下,没搞出来.:kaka6:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; 360SE)

附件: D.rar

五花草甸 - 2010-3-28 21:40:00

建议把病毒样本发给瑞星，地址为：http://mailcenter.rising.com.cn/FileCheck/
提交后，可自行查询处理进度。

辛达星郁 - 2010-3-28 22:20:00

PDF解压之后的，自己看一下吧，接下来我也不会了！！！！

下面是其中一部分代码：（完整的代码在压缩包里）

[复制到剪贴板]

CODE:

PDF Comment '%PDF-1.3\r\n'

PDF Comment '%\x8d\x85\xc6\xc8\r\n'

obj 1 0
Type: /Catalog
Referencing: 2 0 R, 4 0 R
[(1, ' '), (2, '<<'), (1, ' '), (2, '/Type'), (1, ' '), (2, '/Catalog'), (1, ' '), (2, '/PageLayout'), (1, ' '), (2, '/SinglePage'), (1, ' '), (2, '/Pages'), (1, ' '), (3, '2'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '/OpenAction'), (1, ' '), (3, '4'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '>>'), (1, ' ')]

<<
/Type /Catalog
/PageLayout /SinglePage
/Pages 2 0 R
/OpenAction 4 0 R
>>

[(1, ' '), (2, '<<'), (1, ' '), (2, '/Type'), (1, ' '), (2, '/Catalog'), (1, ' '), (2, '/PageLayout'), (1, ' '), (2, '/SinglePage'), (1, ' '), (2, '/Pages'), (1, ' '), (3, '2'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '/OpenAction'), (1, ' '), (3, '4'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '>>'), (1, ' ')]

附件: aa.rar

是昔流芳 - 2010-3-28 22:20:00

有一层arguments.callee，但解出后是一大串数字……
那个ShellCode是http://byfskefe.in/cgi-bin/gjj/n00a102801r0809J11000601R63d1f64eX70107f85Y5d28b5b7Z03002f36317P00000000

辛达星郁 - 2010-3-29 12:16:00

是昔流芳可否说一下解密思路！！:kaka18:

是昔流芳 - 2010-3-29 21:05:00

你在剑盟不是做出来了吗:kaka12:

kekao - 2010-3-29 21:19:00

能否说一下具体思路.:kaka12:

湖心小筑 - 2010-3-30 12:16:00

1、用redoce解压得到源码如下

湖心小筑 - 2010-3-30 12:22:00

晕搞错源文件了

zzzkkkmmm - 2010-3-30 19:06:00

这个我也不知道怎么解密，大侠能不能说说思路

瑞星卡卡安全论坛