123   1  /  3  页   跳转

[练习] 网马解密每日一练(十一)

收藏
本主题由 版主 狮子座小皮 于 2010-3-11 9:44:50 执行 关闭主题/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-10 13:31 | 只看楼主 短消息 资料
字号: 1楼

网马解密每日一练(十一)



引用:
要分析的链接地址:http://job.icxo.com/js/tools/main.htm

要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
分享到:
gototop
 
梅罗
头像
自信弱冠狮
  • 帖子:430
  • 注册: 2010-01-18
  • 来自:永烁星光之地
论坛9周年纪念
发表于: 2010-03-10 13:47 | 短消息 资料
字号: 2楼

回复: 网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****
最后编辑梅罗 最后编辑于 2010-03-10 13:49:13
天地间那一抹不灭的流光 即我
gototop
 
hqvip
头像
自信弱冠狮
  • 帖子:389
  • 注册: 2009-09-17
  • 来自:仙源
论坛9周年纪念
发表于: 2010-03-10 13:51 | 短消息 资料
字号: 3楼

回复:网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

最后编辑hqvip 最后编辑于 2010-03-10 13:58:23
gototop
 
WangAnwu
头像
自信弱冠狮
  • 帖子:403
  • 注册: 2010-01-17
  • 来自:贵州贵阳
发表于: 2010-03-10 16:20 | 短消息 资料
字号: 4楼

回复: 网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
随缘92WJC
头像
横据古稀狮
  • 帖子:12667
  • 注册: 2009-01-13
  • 来自:
论坛8周年活动礼物祖国六十华诞论坛9周年纪念09欢乐圣诞10温馨圣诞十周年年度风云人物国庆61周年十一周年勋章
发表于: 2010-03-10 16:49 | 短消息 资料
字号: 5楼

回复: 网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
微米天空
头像
快乐黄口狮
  • 帖子:209
  • 注册: 2008-03-15
  • 来自:地球
论坛9周年纪念
发表于: 2010-03-10 17:09 | 短消息 资料
字号: 6楼

回复: 网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

最后编辑微米天空 最后编辑于 2010-03-10 17:14:46
中信数通 专业代理息壤独立IP虚拟主机!
http://www.v234.net
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-03-10 17:27 | 短消息 资料
字号: 7楼

回复: 网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****
主要是清除“%”的干扰,随后就是按照常规方法解密即可
 附件: 您所在的用户组无法下载或查看附件
最后编辑辛达星郁 最后编辑于 2010-03-10 17:55:31
要深入,要专一.......
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-10 17:31 | 短消息 资料
字号: 8楼

回复: 网马解密每日一练(十一)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

最后编辑暗夜的雪 最后编辑于 2010-03-10 17:34:17
娱乐致死还是娱乐至死啊?
gototop
 
完颜无泪
头像
快乐黄口狮
  • 帖子:195
  • 注册: 2010-01-02
  • 来自:
发表于: 2010-03-10 18:15 | 短消息 资料
字号: 9楼

回复: 网马解密每日一练(十一)

[hide]首先是取出转义字符 然后从其中的网址中发现一段shellcode  二次esc 后得到网马地址
如图
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

关于:hxxp://job.icxo.com/js/tools/main.htm解密的日志(全体输出 -  22):

Level  0>http://job.icxo.com/js/tools/main.htm
Level  1>http://job.icxo.com/js/tools/thunder.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/real.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/bf.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/lz.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/ac.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/14.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/works.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/imok.htm
Level  2>http://job.icxo.com/js/tools/sviolaoding.swf
Level  2>http://job.icxo.com/js/tools/high
Level  2>http://job.icxo.com/js/tools/sviolaoding.swf
Level  2>http://www.macromedia.com/go/getflashplayer
Level  2>http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0
Level  2>http://job.icxo.com/js/z.exe

日志由 Redoce1.9第26次修正版于 2010-3-10 下午 06:15:04 生成。
最后编辑完颜无泪 最后编辑于 2010-03-10 18:18:09
gototop
 
微米天空
头像
快乐黄口狮
  • 帖子:209
  • 注册: 2008-03-15
  • 来自:地球
论坛9周年纪念
发表于: 2010-03-10 18:40 | 短消息 资料
字号: 10楼

回复: 网马解密每日一练(十一)

哈哈~~大家都是看了别人的才发现原来自己漏解了~~惯性思维导致所有的页面解出的网马都是一样的~~教训教训那!
网马解密需要耐心!
今天学到了,相信这也是老师今天题目的意义吧~
中信数通 专业代理息壤独立IP虚拟主机!
http://www.v234.net
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT