1234   1  /  4  页   跳转

[讲义] 2010年7月15日:网马解密-讲义

收藏
本主题由 版主 狮子座小皮 于 2010-7-16 9:32:00 执行 主题置顶/取消 操作
狮子座小皮
头像
社区嘉宾
  • 帖子:5119
  • 注册: 2009-08-03
  • 来自:
09欢乐圣诞
发表于: 2010-07-15 09:21 | 只看楼主 短消息 资料
字号: 1楼

2010年7月15日:网马解密-讲义

讲师:networkedition

讲义地址:http://bbs.ikaka.com/showtopic-8645169.aspx
                 
                http://bbs.ikaka.com/showtopic-8646107.aspx

本次课程答疑时间:2010年7月15日 14:00-16:00

答疑形式:提问者看过讲义后可先发表问题咨询,讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内.

提问方式:回复本帖提问(即跟帖),不要通过QQ群提问!
最后编辑狮子座小皮 最后编辑于 2010-07-15 09:33:32
分享到:
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-07-15 09:24 | 短消息 资料
字号: 2楼

回复:2010年7月15日:网马解密-讲义

1.在网马解密实际的训练中,发现很多网马都不会解密,对于我们没见过的网马要怎么处理?(个人感觉方法很重要)。
2.还有就是CSS那种,怎么知道那个是网马呢?
3.中了网马一般会释放到系统哪些目录呢?能具体的说一下吗?
4.还有就是猜解密匙方面,主要是靠经验吗?老师能不能分享一些经验?一些网站有自动解密的程序,这个又是怎么实现的呢?

额 问题好多,都不知道怎么提问了,其实自己最不放心的就是网马解密,网马涉及到shellcode溢出和脚本语言之间,有点困难。

有点困了 暂时就想到了这些,下午醒了再想想。

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★

以下为 networkedition回复:


1.不会解密多看教程呀,教程涵盖了大多数的国内目前网马解密的方法。可以多看看恶意网站交流区的教程。遇到不会解密的在这个区发帖或恶意网址交流区发帖提问都行。


2. 正常的css是网页制作中的层叠样式表文件,如何来判断是网马,可以直接查看其源代码,下图就为一个css网马,实际上就是exe程序,将css修改为exe后即可运行。

 附件: 您所在的用户组无法下载或查看附件
3.如果中招了可以根据日志来分析呀,刚好来练手。


4. 关于密钥问题基本就是靠经验来分析,翻来覆去的就是那几个密钥:bd、c2等等吧,观察shellcode里面那个已知的密钥多,基本上就是那个。自动解密程序是内置了相应的算法吧,但不是所有的shellcode都可以通过自动解密解出,工具不是万能的。
最后编辑networkedition 最后编辑于 2010-07-15 14:16:09
gototop
 
nevergu
头像
拙长孩提狮
  • 帖子:370
  • 注册: 2010-06-22
  • 来自:
发表于: 2010-07-15 09:24 | 短消息 资料
字号: 3楼

回复:2010年7月15日:网马解密-讲义

最后一天的课了,时间好快,已经在瑞星实习10天了,加油!!
第一个哦!!
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 
cherish77
头像
健康舞勺狮
  • 帖子:300
  • 注册: 2010-06-22
  • 来自:
实习生小红花
发表于: 2010-07-15 09:25 | 短消息 资料
字号: 4楼

回复:2010年7月15日:网马解密-讲义

(*^__^*) 嘻嘻……先占位,等着上课~~

networkedition老师,在查看参考资料的时候,发现一个浏览器攻击。如图:
打开http://bbs.ikaka.com/showtopic-8629150.aspx
这个网页中的:(转帖)给大家找了些基础教程 http://bbs.ikaka.com/showtopic-8625426.aspx

 附件: 您所在的用户组无法下载或查看附件(那个整个的图有些大,传不上来)
这个是防火墙的显示

 附件: 您所在的用户组无法下载或查看附件

这两次攻击都是那个网页,之后所有论坛的网页被屏蔽了,只能关闭防火墙才能打开论坛的网页。

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为networkedition回复:
在防火墙里有个设置:网络监控——网络攻击拦截,在右侧有个自动禁止与攻击计算机通讯默认是5分钟,也就是说这5分钟之内你是无法访问网页的,可以将时间修改为最短1分钟。
最后编辑networkedition 最后编辑于 2010-07-15 14:20:17
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:30 | 短消息 资料
字号: 5楼

回复:2010年7月15日:网马解密-讲义

呵呵,学习学习,准备问问题。觉得今天的课很好玩,但是不知是我没学明白还是其他原因,我怎么觉得那么容易混掉。下面有些问题不太明白,请老师指点。
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:31 | 短消息 资料
字号: 6楼

回复:2010年7月15日:网马解密-讲义

1。网马之间的区别。我认为其他网马都有可能是大小写数字混排的,怎么区分它是BASE64的?比如alpha2不也是乱七八糟的,如没看到TYTIIIIIIIIIIIII我觉得很像BASE64。是不是主要判断最后有没有=?但是不是也可能没有啊?有没有判断的先后顺序?

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

教程中将各种加密方法的特征都写的很清楚,可以直接对照着来看,符合相应的特征了,那么自然也就知道使用的是什么加密了。教程中总结出来的特征一般情况下都是符合相应的加密特征。

例:以TYTIIIIIIIIIIIII开头的代码肯定就是alpha2加密了,而如果在代码后面有形如==之类的就是base64加密,简单记忆总结出常见网马加密的特征。对于使用哪种解密方法还是很有用处的。
最后编辑networkedition 最后编辑于 2010-07-15 14:27:17
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:31 | 短消息 资料
字号: 7楼

回复:2010年7月15日:网马解密-讲义

2。还是关于网马之间的区别。下面这个是“document.write解密CSS源代码”

Shell9="b4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZVOdoSQTnsSPdQt5a6NRC2OPmfOpmTn1srSt3OpWp";

这个也并没有TYTIIIIIIIIIIIII啊?怎么判断出是alpha2?


★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:


这个是alpha2加密的一个特例,找RHptd4,他后面就是URL地址(即网马地址)。
最后编辑networkedition 最后编辑于 2010-07-15 14:43:02
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:32 | 短消息 资料
字号: 8楼

回复:2010年7月15日:网马解密-讲义

3。解winwebmail,时为什么密匙是1233,代码部分,不是document.write(unencode(webmm,3422)),不是应该是3422?还有我把winwebmail又和document.write有点混了,不都是在document.write函数里吗?document.write函数里面有(unencode(webmm,就是winwebmail?不是就是document.write?
如果winwebmail用document.write方式解,即把document.write变为alert,怎么只出个<SCR=
这样子如果真是病毒的话是不是就已经中招了?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

这是有两种解密方法,第一可以使用freshow的winwebmail来直接进行解密,解密时需要手动添加密钥。密钥应为:3422。第二,可以使用document.write替换为alert方法来进行解密,当遇到一个不会解密网马时,首先可以查找代码中是否有eval或document.write这个两个函数,这样解密起来就容易了。alert方法会出现代码截断现象,如果代码太长,建议使用redoce的documen.write清除来进行解密。
最后编辑networkedition 最后编辑于 2010-07-15 14:49:15
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:32 | 短消息 资料
字号: 9楼

回复:2010年7月15日:网马解密-讲义

4。用FREshow解网马有危险吗?比如把自认为解好代码放到HTML文件里,但实际没有解出来,会不会就中病毒了?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

使用freshow工具解密时没有危险,我都解密了成千上万了,系统也没有中毒。至于代码放到html文件里,记住一定要替换相应的函数,否则有可能会将网马触发执行。
最后编辑networkedition 最后编辑于 2010-07-15 14:52:12
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:32 | 短消息 资料
字号: 10楼

回复:2010年7月15日:网马解密-讲义

5。Winwebmail解密源代码,我一开始处理为

66708666536666966654"//666636665666652667366665366    (剩下省略)

我解出来的就是一大堆乱七八糟的东西,仔细看您的讲义,发现删除了"// ,请问"//是什么?

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

干扰字符吧,有些网马就是这样里面有很多无用的字符,将其替换为空即可。
最后编辑networkedition 最后编辑于 2010-07-15 14:53:32
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT