瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密中级篇知识点巩固(考核)5.20号更新

12   2  /  2  页   跳转

网马解密中级篇知识点巩固(考核)5.20号更新

回复:网马解密中级篇知识点巩固(考核)5.20号更新

gototop
 

回复:网马解密中级篇知识点巩固(考核)5.20号更新

rencai
gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.20号更新

1. http://4t6nhh.6600.org/a/do.css 这个恶意网址是以什么形式加密的,请使用freshow工具解出具体网马地址
答:应该是Shellcode加密  http://5l2o8.com/web/xp.exe
2.[http://4t6nhh.6600.org/a/Turl.js 请使用freshow工具解出具体网马地址(最好能写出详细步骤)
答:http://5l2o8.com/web/xp.exe

YT7468YT7074YT2F3AYT352FYT326CYT386FYT632EYT6D6FYT772FYT6265YT782FYT2E70YT7865YT0065YT0000


按照Shellcode解密方法解密
3.请说出下例恶意网址是以什么方式加密,并将其网马解出。
http://www.kcrlsb.com/wbTextBox/wob/14.htm
答:US-ASCII  http://www.kcrlsb.com/wbTextBox/wob/013.exe
4.一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。
答:http://5l2o8.com/web/xp.exe
只看

var YTavpdown="%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u0000";


就行了。
本帖被评分 1 次
最后编辑是昔流芳 最后编辑于 2009-06-28 07:29:15
gototop
 

回复:网马解密中级篇知识点巩固(考核)5.20号更新

巩固学习。。。
gototop
 

回复:网马解密中级篇知识点巩固(考核)5.20号更新

1.是shellcode形式,网马地址为http://5l2o8.com/web/xp.exe
Log is generated by FreShow.
[wide]http://4t6nhh.6600.org/a/do.css
    [object]http://5l2o8.com/web/xp.exe
2.也是shellcode解密,将YT替换成%u即可解出http://5l2o8.com/web/xp.exe
3.US-ASCII加密,解出为http://www.kcrlsb.com/wbTextBox/wob/013.exe
Log is generated by FreShow.
[wide]http://kuaile4444.3322.org/a/ggvod.js
    [object]http://www.kcrlsb.com/wbTextBox/wob/013.exe
4.找出其中的%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u进行解密得http://5l2o8.com/web/xp.exe\xH
Log is generated by FreShow.
[wide]http://kuaile4444.3322.org/a/ggvod.js
    [object]http://5l2o8.com/web/xp.exe\xH
gototop
 
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT