求助解密一个网马 bbs.ikaka.com

颓废的冬天 - 2012-6-1 13:42:00

不能上附件直接上下载地址不算违规吧。。。
下载地址：http://115.com/file/ancubktg#网马.rar

用户系统信息：Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.802.30 Safari/535.1 SE 2.X MetaSr 1.0

颓废的冬天 - 2012-6-1 13:43:00

在线等 ·····自己坐下位置···

networkedition - 2012-6-1 13:44:00

404啊，下载不了啊:kaka6: 重新上传一下。

颓废的冬天 - 2012-6-1 13:45:00

要把那网马.rar一起复制才能下载的啊···

networkedition - 2012-6-1 13:48:00

试了不行。参考此帖：关于如何截图和以附件形式发图到论坛：http://bbs.ikaka.com/showtopic-8616820.aspx ，发截图和发附件一样的。

颓废的冬天 - 2012-6-1 13:52:00

直接上附件···

·

附件: 网马.rar (2012-6-1 13:52:04, 126.59 K)
该附件被下载次数 367

在线等····

用户系统信息：Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.802.30 Safari/535.1 SE 2.X MetaSr 1.0

颓废的冬天 - 2012-6-1 13:52:00

这下应该没问题了········

networkedition - 2012-6-1 13:57:00

网马地址在b3.txt里面，XOR：bd，解密结果：http://122.228.202.138:2037/asdad.exe

颓废的冬天 - 2012-6-1 13:59:00

能出个详细的截图吗？ ····方法最主要

networkedition - 2012-6-1 14:02:00

[复制到剪贴板]

CODE:

%ud5db%uc9c9%u87cd%u9292%u8f8c%u938f%u8f8f%u9385%u8d8f%u938f%u8e8c%u8785%u8d8f%u8a8e%udc92%ud9ce%ud9dc%ud893%ud8c5%ubdbd"

直接解密上面的shellcode，xor：BD :kaka6:

颓废的冬天 - 2012-6-1 14:09:00

本人太菜谢谢老师指点················最好是能有详细的图和工具的使用最好···而且说你出的有视屏教程我就是找不到地址只能看你的文字教程·····0.0
:kaka8:

networkedition - 2012-6-1 14:13:00

用md直接解密就出来了。

颓废的冬天 - 2012-6-1 14:19:00

可是那么多文件为什么你一判断就能知道在那里··难道这就是专业与非专业的区别吗？　　我想知道　的　是你为什么知道这个网马在ｂ３．ｔｘｔ里面　，我就好奇你是怎么分析的·········本人也接触不久望大神不要闲我　啰嗦····

networkedition - 2012-6-1 14:26:00

分析多了，自然就知道了啊:kaka12: ，感兴趣的话，看看那些执行代码吧:kaka12:

颓废的冬天 - 2012-6-1 14:29:00

能加个好友了　我想跟你学习下这一块的　东西

networkedition - 2012-6-1 14:33:00

置顶帖有教程，慢慢看吧，不会的，在这里发帖交流。

瑞星卡卡安全论坛