瑞星卡卡安全论坛
狮子座小皮 - 2011-1-19 16:45:00
讲师:
networkedition内容简介:内容简介:1、html语言简单介绍;2、网页挂马的概念;3、常见的网页挂马方式;4、常见网马所利
用的漏洞判断方式;5、网马解密工具介绍。
讲义地址:
网马解密讲义(1) 、
网马解密讲义(2);
本次课程答疑时间:
2011年1月20日 14:00-16:00
提问方式:回复本帖提问(即跟帖),不要通过QQ群提问,讲师会在答疑时间,编辑提问帖进行答疑!
℡_ㄨ序幕 - 2011-1-19 16:54:00
努力学习、、:kaka12:
Gothack - 2011-1-19 17:16:00
占楼备用。。。
在劫游魂 - 2011-1-19 20:40:00
占座:kaka12:
lenice - 2011-1-19 20:58:00
果断占楼提问...
StreetMilk - 2011-1-19 22:46:00
老师,你好。我想问下Filter中的Replace功能如何将某些字符串替换成空字符
networkedition回复:空字符替换时就什么都不输入。
不过,我用了FreShow1.5,替换不了。
吃到老玩到老 - 2011-1-19 23:37:00
被同学们的激情所感染了,我也占个座。。。
不得不说 好不容易赶功把日志分析理顺了,稍微分析了两个,头都痛了。。嘿嘿
占座,准备提问。。
hanwww1988 - 2011-1-20 0:16:00
好吧,我承认今天的课程看得我云里雾里的,压力很大。。。网马是不是隐藏在网页源代码中的恶意代码,当我们访问该网页的时候会执行该恶意代码,受到木马文件的攻击。那如何进行预防呢?只能是通过网址对其源代码进行手动分析吗?在分析得出的有问题的网页的解决方法是什么?禁止访问,删除源代码吗?
额,恶意代码是怎么被加进去的呢?
networkedition回复:防御可以通过打全系统补丁包括第三方软件的补丁。至于恶意链接地址或代码如何被加入,一般都是网站页面有漏洞(指代码方面的漏洞)这包括sql注入等等吧,简单讲就是黑客通过网站页面漏洞猜解网站管理后台登录用户名和密码,通过猜解出来的用户名和密码登录网站后台,查找后台漏洞如上传漏洞,在本地上传webshell,上传成功webshell后,访问webshell就可以对网站进行挂马了。这只是其中一种吧,还有其它方式。此问题涉及网站渗透测试方面的内容。
diffstyle - 2011-1-20 10:26:00
那个分析的工具去哪里下啊
networkedition回复:给你传一个吧。附件:
FreShow1.5.rar
风之仙 - 2011-1-20 10:54:00
networkedition老师,第一次接触网马解密,看完讲义吼有以下问题:
1、alpah2的代码处理就是保留ShellCode+"" 的双引号中间的吗?
2、winwebmail的代码处理就是只保留webmm=后面的一长串数字?
3、base64加密的代码不能用freshow解密吗?但是我看到那个工具那里用base64这个选项
4、讲义中分析document.write的例子中,得到css网址check后的内容没看到TYIIIIIIIIIIII啊,老师怎么知道那是alph2加密的呢?
先问这些吧,谢谢老师!
networkedition回复:
1、不是
2、不是,加密代码中含有类似webmn字样的可以来判断是winwebmail加密方式。解密方法详见讲义。
3、freshow针对base64解密支持不是很好,freshow软件也一直未更新,可以使用redoce工具来进行解密。
4、alph2加密方式就是以TYIIIIIIIIIIII开头的,TYIIIIIIIIIIII是标志。
五河的小黄鱼 - 2011-1-20 12:17:00
networkedition老师:我想请问下,我的IE浏览器在升级成ie8后,双击打开时,它会自动在桌面上生成一个ie浏览器快捷方式,但浏览器并没有打开(即程序并未启动),必须右击ie浏览器点击“打开主页”才行,杀毒软件并没有识别其是病毒,这是什么情况,如何解决?:kaka2:
networkedition回复:你发的原帖已经回复了。
culimu - 2011-1-20 14:23:00
问老师个很白目的问题但一直没明白,网页挂马后,解密是做啥的啊?:kaka6:
networkedition回复:其实这个网站挂马解密学习,对于一些网站站长或管理员帮助较大,可以迅速找到被挂的恶意链接地址并清除。 其它非网站站长或管理员就是爱好了。
culimu - 2011-1-20 15:14:00
请教老师,挂马网站一般有什么特征啊,也就是什么情况下怀疑网页挂马了呢?瑞星是不是可以监控啊,监控下挂马网页是不是打不开啊,谢谢老师
networkedition回复:如果访问的网站被挂马了,安装了瑞星是可以拦截的。瑞星拦截后会有提示的。
Emma111 - 2011-1-20 15:39:00
老师~关于alert大法中加上脚本代码,这地方不太明白~~能否详细讲解下?谢谢~~
networkedition回复:就是在头和结尾加<script></script>标签,这样在保存为html页面,直接访问后<script></script>之间的内容,会被当作脚本执行,默认是javascript。这里省略了language=javascript
StreetMilk - 2011-1-20 15:42:00
大版主老师好。可能刚才我表述得不够清楚。
我的问题的是:想这样的网马我用FreShow1.5只能用xxx替换成“ ”(即空格),不能用xxx替换成“”(空字符)。
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件networkedition回复:经测试是无法替换,可以使用记事本的替换功能。
Gothack - 2011-1-20 15:46:00
网马是怎么利用系统漏洞的呢
networkedition回复:主要是利用系统漏洞触发网马并执行,如果一个千疮百洞的系统且未装安全软件,访问被挂马网站后,那么就会中招。反过来系统补丁都是全的,访问一个被挂马的网站也不会中招,没有可以利用的漏洞,无法触发。
Luke8 - 2011-1-20 16:00:00
Luke8提问时间:
根据恶意漏洞名称那里,有个网址名称~是出现在哪个位置的?
networkedition回复:举个例子,hxxp://www.xxx.com/014.htm,根据014.htm来判断,肯定是利用ms06-014这个系统漏洞。
Emma111 - 2011-1-20 16:05:00
很好奇瑞星是怎么发现加密的网马的?
networkedition回复:瑞星杀毒软件和防火墙有恶意网址拦截行为,当装有瑞星软件的客户端访问网站时,监控会自动先抓取客户端访问的页面,分析此页面中的脚本,或者在虚拟环境下运行脚本,查看是否有恶意行为,如果有就拦截,拦截后上传云安全。
Gothack - 2011-1-20 16:10:00
这个触发并执行是什么个意思。。。:kaka12:
networkedition回复:简单讲就是有可以运行的环境。
Luke8 - 2011-1-20 17:07:00
Luke8还有问题:
在之前曾遇到过需解密网址已被一个字符加密。
请问如何寻找号码?他的原理是不是与我们平时登陆论坛时输入验证码类似?
Emma111 - 2011-1-20 17:14:00
可是老师这个例子我也没看到alph2加密方法的标志之处 ,也就是TYIIIIIIIIIIII
这是怎么回事呢?
jensh8023 - 2011-1-21 13:36:00
城主,完全可以这样:先将代替换的东东替换成 空格 ,再UP,再用一次NULLS过滤一下就OK了(当然是在你需要把全部空格都去掉的前提下可以这样)。:kaka12:
jensh8023 - 2011-1-21 13:44:00
原帖由 StreetMilk 于 2011-1-19 22:46:00 发表
老师,你好。我想问下Filter中的Replace功能如何将某些字符串替换成空字符
networkedition回复:空字符替换时就什么都不输入。
不过,我用了FreShow1.5,替换不了。
城主,完全可以这样:先将代替换的东东替换成 空格 ,再UP,再用一次NULLS过滤一下就OK了。(当然是在你需要把全部空格都去掉的前提下可以这样):kaka1:
1
© 2000 - 2026 Rising Corp. Ltd.