12   1  /  2  页   跳转

[求助] 一个pdf解密

一个pdf解密

搞了一下,没搞出来.

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; 360SE)

附件附件:

文件名:D.rar
下载次数:299
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-28 21:34:15
描述:rar

分享到:
gototop
 

回复:一个pdf解密

建议把病毒样本发给瑞星,地址为:http://mailcenter.rising.com.cn/FileCheck/
提交后,可自行查询处理进度。
一切皆有可能。
2011常见问题请参考:
http://www.ikaka.com.cn/csc_faq/index.shtml
gototop
 

回复: 一个pdf解密

PDF解压之后的,自己看一下吧,接下来我也不会了!!!!

下面是其中一部分代码:(完整的代码在压缩包里)

PDF Comment '%PDF-1.3\r\n'

PDF Comment '%\x8d\x85\xc6\xc8\r\n'

obj 1 0
Type: /Catalog
Referencing: 2 0 R, 4 0 R
[(1, ' '), (2, '<<'), (1, ' '), (2, '/Type'), (1, ' '), (2, '/Catalog'), (1, ' '), (2, '/PageLayout'), (1, ' '), (2, '/SinglePage'), (1, ' '), (2, '/Pages'), (1, ' '), (3, '2'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '/OpenAction'), (1, ' '), (3, '4'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '>>'), (1, ' ')]

<<
/Type /Catalog
/PageLayout /SinglePage
/Pages 2 0 R
/OpenAction 4 0 R
>>

[(1, ' '), (2, '<<'), (1, ' '), (2, '/Type'), (1, ' '), (2, '/Catalog'), (1, ' '), (2, '/PageLayout'), (1, ' '), (2, '/SinglePage'), (1, ' '), (2, '/Pages'), (1, ' '), (3, '2'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '/OpenAction'), (1, ' '), (3, '4'), (1, ' '), (3, '0'), (1, ' '), (3, 'R'), (1, ' '), (2, '>>'), (1, ' ')]


附件附件:

文件名:aa.rar
下载次数:244
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-28 22:20:15
描述:rar

要深入,要专一.......
gototop
 

回复:一个pdf解密

有一层arguments.callee,但解出后是一大串数字……
那个ShellCode是http://byfskefe.in/cgi-bin/gjj/n00a102801r0809J11000601R63d1f64eX70107f85Y5d28b5b7Z03002f36317P00000000
最后编辑是昔流芳 最后编辑于 2010-03-28 22:21:24
gototop
 

回复:一个pdf解密

是昔流芳  可否说一下解密思路!!
要深入,要专一.......
gototop
 

回复 5F 辛达星郁 的帖子

你在剑盟不是做出来了吗
gototop
 

回复 6F 是昔流芳 的帖子

能否说一下具体思路.
gototop
 

回复:一个pdf解密

1、用redoce解压得到源码如下
gototop
 

回复:一个pdf解密

晕搞错源文件了
最后编辑湖心小筑 最后编辑于 2010-03-30 12:26:42
gototop
 

回复:一个pdf解密

这个我也不知道怎么解密,大侠能不能说说思路
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT