关于网马解密工具之——Redoce (二)的补充 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流关于网马解密工具之——Redoce (二)的补充

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[教程] 关于网马解密工具之——Redoce (二)的补充

本主题由版主 networkedition 于 2009-6-16 10:52:11 执行设置高亮操作

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 10:19 \| 只看楼主短消息资料字号：小中大 1楼关于网马解密工具之——Redoce (二)的补充引用: 首先在这里先感谢一下轩辕小聪的版主指点，在网马解密工具之——Redoce (二)一文中我们讲解了redoce的%uX功能，即猜解带XOR加密的shellcode功能。而之前讲解freshow并没有此功能，经过小聪版主指点，在这里补充讲解一下，实际上freshow是具备此功能的。引用小聪版主的讲解"freshow的enumXOR功能就是这个功能。该功能与Redoce的%uX是一致的，即通过自动枚举猜解来获得单字节XOR加密的密钥"。引用: 为了便于大家对此功能了解，单独作为一篇补充教程来进行讲解吧。接下来演示一下如何使用freshow的enumXOR功能来解密带XOR加密的shellcode。引用: 在这里还是以网马解密工具之——Redoce (二)一文中实例：hxxp://ccndk822.cn/a/set.js来进行讲解。用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) networkedition 最后编辑于 2009-06-16 10:45:22
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 10:26 \| 只看楼主短消息资料字号：小中大 2楼回复: 关于网马解密工具之——Redoce (二)的补充 redoce20.jpg (669.43 K) 2009-6-16 10:25:45 首先还是使用replace功能将gfds替换为%u，去除头尾内容，在这里我们只留替换好的shellcode这部分。为了便于解密，建议大家可将整个中间要替换部分复制出来，再使用replace替换功能进行操作。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 10:32 \| 只看楼主短消息资料字号：小中大 3楼回复: 关于网马解密工具之——Redoce (二)的补充 redoce21.jpg (674.35 K) 2009-6-16 10:32:12 上图为单独将shellcode部分复制出来，再使用replace进行替换。替换后我们先使用esc功能将其变为%x形式，详见下列截图
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 10:38 \| 只看楼主短消息资料字号：小中大 4楼回复: 关于网马解密工具之——Redoce (二)的补充 redoce22.jpg (576.93 K) 2009-6-16 10:37:52 接下来解密选项选择enumXOR，点击decode按钮进行解密。此时会弹出一个对话框，内容为"Match!XOR BCh."，点击确定后，解密出网马地址。详见下列截图
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 10:41 \| 只看楼主短消息资料字号：小中大 5楼回复: 关于网马解密工具之——Redoce (二)的补充 redoce23.jpg (658.18 K) 2009-6-16 10:40:51 点击确定后解密出网马地址下图： redoce24.jpg (559.60 K) 2009-6-16 10:40:51
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 10:50 \| 只看楼主短消息资料字号：小中大 6楼回复: 关于网马解密工具之——Redoce (二)的补充再补充说明一下，大家可能会有些疑惑，怎么解密出网马地址和关于网马解密工具之——Redoce (二)一文，网马地址不一样，原因是网马又更新了，网页挂马更新是很快的，失效性也是很快的。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 14:14 \| 只看楼主短消息资料字号：小中大 7楼回复: 关于网马解密工具之——Redoce (二)的补充再看一个实例：hxxp://www.zlflawyer.com/cc/7.css redoce25.jpg (667.83 K) 2009-6-16 14:13:46
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 14:16 \| 只看楼主短消息资料字号：小中大 8楼回复: 关于网马解密工具之——Redoce (二)的补充点击filter进行替换，使用esc将代码变为\x形式，接下来解密选项选择enumXOR，点击decode按钮解密。详见下列截图： redoce26.jpg (656.66 K) 2009-6-16 14:16:05 networkedition 最后编辑于 2009-06-16 14:18:55
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-06-16 14:17 \| 只看楼主短消息资料字号：小中大 9楼回复: 关于网马解密工具之——Redoce (二)的补充 redoce27.jpg (566.07 K) 2009-6-16 14:17:14 本帖被评分 1 次本帖被评分 1 次
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

whynotloveme 初生襁褓狮帖子:78 注册: 2009-06-24 来自:	发表于： 2009-06-24 10:13 \| 短消息资料字号：小中大 10楼回复：关于网马解密工具之——Redoce (二)的补充很多字符不懂啊吹过的并不是风，而是心风；走过的并不是路，而是心路。
whynotloveme 初生襁褓狮帖子:78 注册: 2009-06-24 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT