网马解密工具之——Redoce - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流网马解密工具之——Redoce

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[教程] 网马解密工具之——Redoce

本主题由版主 networkedition 于 2009-6-11 17:04:35 执行设置高亮操作

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 15:25 \| 只看楼主短消息资料字号：小中大 1楼网马解密工具之——Redoce 这个工具很好很强大，是小祥编写开发的，在这里宣传一下哈，这个工具经过多次更新目前很完善。集成有自动和手动解密功能，它的pdf和swf网马解密功能也是很强悍的，在我们前期swf和pdf网马解密教程中有应用到此工具。我们会陆续讲解此工具的用法。目前此工具版本为：redoce v1.9+66，该工具支持更新功能，可自行更新。 redoce.jpg (1045.56 K) 2009-6-11 15:24:51 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) networkedition 最后编辑于 2009-06-11 15:26:18
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 15:44 \| 只看楼主短消息资料字号：小中大 2楼回复: 网马解密工具之——Redoce 我在这里先抛砖引玉吧，先来讲解一下它的解密功能，ok，先来看一下6>Eval()清除(Beta!)和D>Document.Write清除这两个功能。在我们前期讲解的教程中，当遇到eval和document.write这个两个加密，我们发现freshow并不能直接来进行解密，eval解密需要借助在线解密工具，而document.write需要替换为alert，这实际给我们在解密过程中，增加解密时间。而redoce工具集成直接对此两种加密方式的解密，非常容易上手。先来看一下eval这个在网马解密中最常见的加密形式。 redoce1.jpg (539.65 K) 2009-6-11 15:44:16 点击go来获取网站源代码，这相当于freshow的check。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 15:55 \| 只看楼主短消息资料字号：小中大 3楼回复: 网马解密工具之——Redoce 这个工具可以快速的定位，网马源代码中的eval和document.write，该功能在执行下的3>标出Eval位置和4>标出Documents.Write位置，我们选择其中一个点击开始按钮，如果要解密网页源代码中有eval或document.write，会将eval或document.write高亮显示，在实际网马解密中非常实用。 redoce2.jpg (1046.30 K) 2009-6-11 16:06:20 networkedition 最后编辑于 2009-06-11 16:06:20
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 16:19 \| 只看楼主短消息资料字号：小中大 4楼回复: 网马解密工具之——Redoce 接下来我们选择解密选项的6>Eval()清除(Beta!)，点击开始按钮进行解密，详见下列截图： redoce3.jpg (97.05 K) 2009-6-11 16:19:21
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 16:31 \| 只看楼主短消息资料字号：小中大 5楼回复: 网马解密工具之——Redoce 哈哈，就这么轻松搞定。接下来再来看document.write，详见下列截图： redoce4.jpg (118.65 K) 2009-6-11 16:30:36
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 16:38 \| 只看楼主短消息资料字号：小中大 6楼回复: 网马解密工具之——Redoce 接下来选择解密选项的D>Document.Write清除，详见下列截图： redoce5.jpg (92.79 K) 2009-6-11 16:38:02
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 16:48 \| 只看楼主短消息资料字号：小中大 7楼回复: 网马解密工具之——Redoce 点击URL相当于freshow的filter，将2.css过滤出来，再次点击go获取2.css源代码，详见下列截图： redoce6.jpg (106.98 K) 2009-6-11 16:48:23
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 17:00 \| 只看楼主短消息资料字号：小中大 8楼回复: 网马解密工具之——Redoce 我们看到2.css有个shellcode，这里解密选项选择5>Unicode清除(%u,\u)(参数/无参数)，详见下列截图： redoce7.jpg (110.13 K) 2009-6-11 16:59:33
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-11 17:03 \| 只看楼主短消息资料字号：小中大 9楼回复: 网马解密工具之——Redoce 我们看到只需选择相应的解密选项，点击相应开始按钮，就轻松完成解密。在这里点击日志A按钮可以讲解密结果格式化输出，相当于freshow的log按钮。日志格式如下： [复制到剪贴板] CODE: 关于:hxxp://xwb.cztv.tv/mj/4.htm解密的日志(全体输出 - 3): Level 0>http://xwb.cztv.tv/mj/4.htm Level 1>http://xwb.cztv.tv/mj/2.css Level 2>http://ccav.qc.cx/vc.css 日志由 Redoce1.9第65次修正版于 2009-6-11 17:11:59 生成。今天先讲解这么多，后续我们再讲解redoce其它功能。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2009-06-11 17:14 \| 短消息资料字号：小中大 10楼回复：网马解密工具之——Redoce 见过其妙用了
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT