瑞星卡卡安全论坛技术交流区恶意网站交流 关于网马解密工具之——Redoce (二)的补充

1   1  /  1  页   跳转

[教程] 关于网马解密工具之——Redoce (二)的补充

关于网马解密工具之——Redoce (二)的补充



引用:
首先在这里先感谢一下轩辕小聪的版主指点,在网马解密工具之——Redoce (二)一文中我们讲解了redoce的%uX功能,即猜解带XOR加密的shellcode功能。而之前讲解freshow并没有此功能,经过小聪版主指点,在这里补充讲解一下,实际上freshow是具备此功能的。引用小聪版主的讲解"freshow的enumXOR功能就是这个功能。该功能与Redoce的%uX是一致的,即通过自动枚举猜解来获得单字节XOR加密的密钥"。

   
 

引用:
为了便于大家对此功能了解,单独作为一篇补充教程来进行讲解吧。接下来演示一下如何使用freshow的enumXOR功能来解密带XOR加密的shellcode。


 

引用:
在这里还是以网马解密工具之——Redoce (二)一文中实例:hxxp://ccndk822.cn/a/set.js来进行讲解。







用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑networkedition 最后编辑于 2009-06-16 10:45:22
分享到:
gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充



首先还是使用replace功能将gfds替换为%u,去除头尾内容,在这里我们只留替换好的shellcode这部分。为了便于解密,建议大家可将整个中间要替换部分复制出来,再使用replace替换功能进行操作。
gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充



上图为单独将shellcode部分复制出来,再使用replace进行替换。替换后我们先使用esc功能将其变为%x形式,详见下列截图
gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充



接下来解密选项选择enumXOR,点击decode按钮进行解密。此时会弹出一个对话框,内容为"Match!XOR BCh.",点击确定后,解密出网马地址。详见下列截图
gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充




点击确定后解密出网马地址下图:

gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充

再补充说明一下,大家可能会有些疑惑,怎么解密出网马地址和关于网马解密工具之——Redoce (二)一文,网马地址不一样,原因是网马又更新了,网页挂马更新是很快的,失效性也是很快的。
gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充

再看一个实例:hxxp://www.zlflawyer.com/cc/7.css

gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充

点击filter进行替换,使用esc将代码变为\x形式,接下来解密选项选择enumXOR,点击decode按钮解密。详见下列截图:

最后编辑networkedition 最后编辑于 2009-06-16 14:18:55
gototop
 

回复: 关于网马解密工具之——Redoce (二)的补充

本帖被评分 1 次
gototop
 

回复:关于网马解密工具之——Redoce (二)的补充

很多字符不懂啊
吹过的并不是风,而是心风;
走过的并不是路,而是心路。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT