RisingInternElit - 2010-7-15 14:18:00
老师,您好!认真学习了您的讲义教程,我想我长见识了,学到东西了,首先感谢您介绍了那么多的网马解密的工具和例子教程!
然而,我的问题是:
1)所谓的解密到底是指什么?看例程,是否就是指结出某些网页挂着木马,而木马对应的真正的地址即解密解出来的?
2)就拿freshow工具来说,其中的url栏要填写需要“解密的网址”,试问: 我如何事先就知道此网址就是有挂马了?难道对应每一个网站(如果我没上瑞星官网,是不是我也得拿freshow来解密分析其有没有挂马?),我都要去解密木马?
3)使用相关解密工具分析此木马的地址后,又能干什么?即:解密出木马地址最终的目的是?
以上是我很好奇的,请您赐教!谢谢!
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:
1. 对的,就是将最终的网马地址给解密出来。
2. freshow是辅助工具,可以通过它来查看网站是否被挂马,如果你是个网站站长或管理员,那么这个还是很有用的。
3. 解密出来网马,对于杀软无法查杀的直接上报入库,造福其它广大网友。其次对于病毒样本感兴趣的,可以来通过虚拟机运行分析病毒行为,或通过od等调试工具来对样本进行汇编层次的分析。
迷失の坏坏 - 2010-7-15 14:32:00
老师,一般的木马都能够被杀毒软件识别并且拦截吗?新改进的2011对于木马的拦截怎么样
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:
对的,瑞星的恶意网址拦截就是基于网马的行为分析来并加以拦截的。
hippo10 - 2010-7-15 14:37:00
第一次接触网马。。又是看的眼花缭乱~试了下有几个问题要问老师~~1.在解密document.write时,我做到如下图这步就不知道该怎么办了。。
2.为什么老是给的alpha2的附件js文件无法用记事本打开呢。。一直都显示拒绝访问。。
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:1. 你的图无法看到,关于如何截图和以附件形式发图到论坛
http://bbs.ikaka.com//showtopic-8616820.aspx2.是不是有杀软呀,可以暂时关闭杀软监控后再使用记事本打开试试。
西南偏南 - 2010-7-15 15:19:00
附件:
您所在的用户组无法下载或查看附件老师,下面是我刚才找到的几个可疑的句子,您看看对不对
网址是论坛每日播报7月14公布的网址http://www.enoya.com/(纵横财经社区 )
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:见下图,直接使用freshow工具:
附件:
您所在的用户组无法下载或查看附件附件:
疑似挂马.jpg 附件:
疑似挂马2.jpg 附件:
疑似挂马3.jpg
绿树紫涧 - 2010-7-15 15:37:00
速度学习一下,占楼
Tartarus - 2010-7-15 15:46:00
网马解密之前没有接触过,HTML语言也没有看过。。看完讲义也是一知半解的。。。还有些问题望老师指点。
1。在document.write篇中说到:
《将document.write函数替换为alert,再加上脚本代码,将其代码保存为htm格式》
<1>打开htm最后显示好几个通知有什么用呢,也没有显示网马地址啊?<script src = 3.css</script>>是什么意思呢?
<2>这里的加上脚本代码是不是跟前面Eval加密一样也是加<script>呢?我看截图里没有这句。
2。 在alpha2实例中提到把无用的代码给删掉,怎么看出来哪些是无用的呢?不删会怎么样呢?解密有时会不成功么?
3。 介绍的方法是用来得到网马地址的,但是得到网马地址之后呢??怎么删掉这样网站的木马呢?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:
1.有些网马解密不是一下就可以解密出来的,需要耐心的一点一点的去解。3.css是你解密过程中的一部分吧,这里面应该还有东东。建议耐心仔细的完整看一下整体解密的过程。
2. 无用的代码实际上就是一些无效字符,如:双引号呀,反斜杠等等。去除这些干扰码,可以使代码看起来清晰,有利于分析代码。
3.最后的网马可以直接下载,对于一些杀软无法查杀的样本可以直接入库,对于感兴趣样本分析的,可以直接拿来分析病毒样本。网马清除实际上将网站被写入的恶意链接地址删除即可,不需要更进一步的解密。
RisingInternElit - 2010-7-15 15:50:00
好的哦,非常感谢老师的回答!
09kaka - 2010-7-15 15:50:00
老大 怎么看一个挂马网页利用的什么漏洞
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:
讲义没有讲嘛,可以通过clsid来进行判断,还有就是网页的地址的命名,如:14.htm或014.htm这里都是指利用的ms06-014这个漏洞。
© 2000 - 2026 Rising Corp. Ltd.