12345   5  /  5  页   跳转

[练习] 网马解密每日一练

收藏
本主题由 版主 狮子座小皮 于 2010-2-9 9:21:19 执行 关闭主题/取消 操作
sunshinehao
头像
初生襁褓狮
  • 帖子:76
  • 注册: 2010-01-19
  • 来自:
发表于: 2010-02-09 02:33 | 短消息 资料
字号: 41楼

回复:网马解密每日一练

半夜完成任务。。哈哈!

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

最后编辑sunshinehao 最后编辑于 2010-02-09 02:59:26
gototop
 
漂流使者
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2010-01-25
  • 来自:
发表于: 2010-02-09 04:53 | 短消息 资料
字号: 42楼

回复: 网马解密每日一练

[hide]
方法1:替换法
使用freshow或下载附件得到网页源代码

 附件: 您所在的用户组无法下载或查看附件
.分析源代码中的特征码
1.未找到alpha2shellcodebase64us-ascIIwinwebail加密特点

2.发现代码中有eval document.write

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件
三.分析并找出连接
使用替换法先将eval替换为alert,保存为网页并运行后弹出提示框,但未发现连接

 附件: 您所在的用户组无法下载或查看附件
还原为原始代码后将document.write 替换为 alert 弹出提示框,发现连接
 

 附件: 您所在的用户组无法下载或查看附件

将地址输入freshow并导出日志
日志:Log is generated by FreShow.
      [wide]http://zeichuan.91.tc/1.htm
      [object]http://im.94q.net/server.exe

方法2使用redoce
1.redoce地址栏输入地址 GO获得网页代码
2.在解密项选择“D>Document.Write清除”则可得到连接

 附件: 您所在的用户组无法下载或查看附件
日志: 关于:hxxp://zeichuan.91.tc/1.htm解密的日志(全体输出 -
2):
Level
0>htp:/zeichuan.91.tc/1.htm
Level
1>htp:/im.94q.net/server.exe
日志由 Redoce1.926次修正版于 2010-2-9 4:25:58 生成。


老师我基础差 第二种方法不算自动解密吧?
[/hide]
最后编辑漂流使者 最后编辑于 2010-02-09 05:11:01
gototop
 
防潮生生世世
头像
健康舞勺狮
  • 帖子:250
  • 注册: 2009-12-18
  • 来自:
发表于: 2010-02-09 05:22 | 短消息 资料
字号: 43楼

回复: 网马解密每日一练


 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

> 解密: Document.Write还原.
= [之前:4475 之后:928] (完成)


关于:解密的日志(全体输出 -  1):
Level  1>http://im.94q.net/server.exe
日志由 Redoce2.0第77次修正版于 2010-2-9 上午 05:31:39 生成。
最后编辑防潮生生世世 最后编辑于 2010-02-09 05:35:57
gototop
 
peterpanbaby
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2010-01-03
  • 来自:
发表于: 2010-02-09 08:58 | 短消息 资料
字号: 44楼

回复: 网马解密每日一练

[hide]
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件[/hide]
最后编辑peterpanbaby 最后编辑于 2010-02-09 08:59:19
gototop
 
<<上一主题|下一主题>>
12345   5  /  5  页   跳转
页面顶部
Powered by Discuz!NT