瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第四十六期(已结束)

1   1  /  1  页   跳转

[悬赏] 网马解密悬赏第四十六期(已结束)

网马解密悬赏第四十六期(已结束)



引用:
http://www.wowop.tk:315/index.htm




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件附件:

文件名:index.rar
下载次数:513
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-27 15:22:40
描述:rar

最后编辑networkedition 最后编辑于 2010-02-27 16:46:05
分享到:
gototop
 

回复:网马解密悬赏第四十六期



引用:

关于:hxxp://www.wowop.tk:315/index.htm解密的日志(全体输出 -  3):

Level  0>http://www.wowop.tk:315/index.htm
Level  1>http://www.wowop.tk/down/op.exe  ●
Level  1>http://www.wowop.tk:315/GSl.gif

analyzed by 是昔流芳


好猥琐啊
本帖被评分 1 次
gototop
 

回复:网马解密悬赏第四十六期

/x 转义,把原来window里的转义码改回eavl (感谢”是昔“给出提示) 然后改为输出,得到shellcode,但是我只解出一个,另一个GIF没有找到:
Log is generated by FreShow.
[unknown]hxxp://www.wowop.tk:315/index.htm
    [object]http://www.wowop.tk/down/op.exe
娱乐致死还是娱乐至死啊?
gototop
 

回复 3F 暗夜的雪 的帖子

那个gif应该是用来触发的,不是网马。所利用的漏洞为极光。
gototop
 

回复: 网马解密悬赏第四十六期

我发一下我自己的步骤哈
这个代码得到以后可以看到有\x转义,所以将其复原后可以看到代码的头部有一个eval,但是将它改为alert后并没有弹出有效的信息,这说明改的东西有点多了。
那么再回到原来的代码中,把window["\x65\x76\x61\x6c"]替换为window["alert"] 其余部分不变
然后保存,运行。
我这里火狐弹了满满一屏,全选后复制就可以得到解密后的代码。
本帖被评分 1 次
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT