123   2  /  3  页   跳转

[练习] 网马解密每日一练(六)

收藏
本主题由 版主 狮子座小皮 于 2010-3-4 9:11:37 执行 关闭主题/取消 操作
微米天空
头像
快乐黄口狮
  • 帖子:209
  • 注册: 2008-03-15
  • 来自:地球
论坛9周年纪念
发表于: 2010-03-03 17:13 | 短消息 资料
字号: 11楼

回复: 网马解密每日一练(六)

***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-03-03 17:23 | 短消息 资料
字号: 12楼

回复: 网马解密每日一练(六)

***** 该内容需回复才可浏览 *****
要深入,要专一.......
gototop
 
飘零の翼
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2010-01-24
  • 来自:
发表于: 2010-03-03 18:06 | 短消息 资料
字号: 13楼

回复: 网马解密每日一练(六)

[hide]老师这什么情况
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件[/hide]
最后编辑飘零の翼 最后编辑于 2010-03-03 22:39:03
gototop
 
Iris1011
头像
自信弱冠狮
  • 帖子:440
  • 注册: 2010-01-11
  • 来自:
发表于: 2010-03-03 18:06 | 短消息 资料
字号: 14楼

回复: 网马解密每日一练(六)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

最后编辑Iris1011 最后编辑于 2010-03-03 18:53:39
gototop
 
筠林碧湫
头像
健康舞勺狮
  • 帖子:288
  • 注册: 2010-01-24
  • 来自:北京
发表于: 2010-03-03 18:25 | 短消息 资料
字号: 15楼

回复:网马解密每日一练(六)

今天的freshow有点不合作 有的链接解不出源代码 然后用迅雷下载网页再用记事本打开后和freshow解出的一样啊 没有发现其它东西 也关了防火墙 是不是在学校上网的原因呢
最后编辑筠林碧湫 最后编辑于 2010-03-03 18:56:58
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-03-03 18:55 | 短消息 资料
字号: 16楼

回复:网马解密每日一练(六)

路过,给点提示
光用freshow是无法解密的
需要自己变通,此网马对freshow做了免疫处理
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-03-03 19:57 | 短消息 资料
字号: 17楼

回复: 网马解密每日一练(六)

地址虽然失效但是利用我上面的代码,自己下载练习,还是得出了地址
[object]http://vvvv.wwvv.us/images/css/css.swf
几乎解密出来的地址都是上面的那个

简单说一下,其实很简单只要是document.write这个代码
直接替换或者直接用Recoder清除就行了

哎,想想也没有什么难的,开始快把我急坏了。回过头来想了想其实没有什么难的,对付这样的网马加密地址,最主要要有内心慢慢来,慢慢解。
最后,总会从中悟出方法的。

但是这个flash怎么下载呢??

通过这次的练习,我想下次应该没有问题了。
最后编辑辛达星郁 最后编辑于 2010-03-03 20:13:13
要深入,要专一.......
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-03-03 21:08 | 短消息 资料
字号: 18楼

回复 17F 辛达星郁 的帖子

那SWF根本就是PE文件,不是动画
gototop
 
WangAnwu
头像
自信弱冠狮
  • 帖子:403
  • 注册: 2010-01-17
  • 来自:贵州贵阳
发表于: 2010-03-03 21:40 | 短消息 资料
字号: 19楼

回复: 网马解密每日一练(六)

***** 该内容需回复才可浏览 *****
gototop
 
by02304501
头像
健康舞勺狮
  • 帖子:253
  • 注册: 2009-12-19
  • 来自:
论坛9周年纪念
发表于: 2010-03-03 22:24 | 短消息 资料
字号: 20楼

回复: 网马解密每日一练(六)

[hide]
Log is generated by FreShow.
[wide]http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
    [script]http://www.jci.jx.cn/news/Click.asp?NewsID=09123016371215729
    [script]http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729
        [script]http://w2w.wwvv.us/images/css/swf.swf
        [frame]http://liudidi.9966.org/images/css/mepeg.htm
            [script]http://liudidi.9966.org/images/css/dj.jpg
                [object]http://vvvv.wwvv.us/images/css/css.swf
            [script]http://liudidi.9966.org/images/css/dj1.jpg
        [frame]http://liudidi.9966.org/images/css/tj.htm
            [script]http://count45.51yes.com/click.aspx?id=457288414&logo=1
                [frame]http://count45.51yes.com/sa.aspx?id=457288414'+yesdata+'
        [frame]http://liudidi.9966.org/images/css/ff.htm
            [script]http://liudidi.9966.org/images/css/go.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/of.htm
            [script]http://liudidi.9966.org/images/css/of.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/dom.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/bf.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf

解这个网马的方法主要是freshow 和Redoce的配合使用以及document.write和shellcode的解密。

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/1.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/2.jpg[/img]

使用Redoce解出第一个document.write.

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/3.jpg[/img]

使用 freshow不能解出http://liudidi.9966.org/images/css/mepeg.htm,因而利用Redoce,方法是,选中一个空格,然后右键点击“删除选中字符”,即得标准代码。如下图:



[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/4.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/5.jpg[/img]

即解得dj.jpg.和dj1.jpg。复制到freshow中去:

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/6.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/7.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/8.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/9.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/10.jpg[/img]


点击三次ESC Decode,得出网马。

以下同理。并附图:

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/11.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/12.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/13.jpg[/img]

[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/14.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/15.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/16.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/17.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/18.jpg[/img]


[img]file:///C:/Documents%20and%20Settings/Owner/My%20Documents/My%20Pictures/19.jpg[/img]

[\hide]
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT