1234   2  /  4  页   跳转

[讲义] 2010年7月15日:网马解密-讲义

收藏
本主题由 版主 狮子座小皮 于 2010-7-16 9:32:00 执行 主题置顶/取消 操作
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:33 | 短消息 资料
字号: 11楼

回复:2010年7月15日:网马解密-讲义

6。FREshow不能解base64吗?我看它里面也有个base64。
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

是的,这是软件的bug。1.5版本后就在没有更新过这个软件。
最后编辑networkedition 最后编辑于 2010-07-15 14:55:01
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:33 | 短消息 资料
字号: 12楼

回复:2010年7月15日:网马解密-讲义

7。是不是网马基本就这几种?会不会一段代码中用多种加密方式啊?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

国内常见的基本上都列出来了,一段代码中有多种加密方式这个是有可能的。具体问题具体分析。
最后编辑networkedition 最后编辑于 2010-07-15 14:56:40
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:35 | 短消息 资料
字号: 13楼

回复:2010年7月15日:网马解密-讲义

对了,还有就是上届不有一些联系吗?那些还能做吗?网址都还有效吗?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

由于网马的失效性是很快的,有些可能已经清除了,或者域名已经失效。你可以尝试解密带源代码的练习题。
最后编辑networkedition 最后编辑于 2010-07-15 14:58:40
gototop
 
hellodel
头像
飘泊而立狮
  • 帖子:766
  • 注册: 2010-03-09
  • 来自:
论坛9周年纪念
发表于: 2010-07-15 09:36 | 短消息 资料
字号: 14楼

回复:2010年7月15日:网马解密-讲义

networkedition老师,您好!辛苦您了!

我这有几个问题向您请教:

1.使用FreShow测试网站,当在URL栏输入网址后,点Check,结果状态显示【DNS Faild】或【Error ID:400】,
不知是怎么回事?

2.在分析一个网站过程中遇到一个网址如:http://*****1.exe,则可判断是网马,那除了.exe后缀外,还有哪种文件后缀可能是网马?

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

1. 出现dns faild或errorid:400等,都是指网址失效了,dnsfaild是指dns解析失败。网站状态专门有个对应表吧。可以百度一下找找。

2.多种形式文件的扩展名都可能是网马,例如:css、txt、mdb等等吧。
最后编辑networkedition 最后编辑于 2010-07-15 15:03:11
gototop
 
hellodel
头像
飘泊而立狮
  • 帖子:766
  • 注册: 2010-03-09
  • 来自:
论坛9周年纪念
发表于: 2010-07-15 09:37 | 短消息 资料
字号: 15楼

回复:2010年7月15日:网马解密-讲义

networkedition老师,请问如果网马解密中遇到加密的代码,如何得到解密的密钥呢?

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

1. 可以通过猜解的方法得到密钥,这个需要解密的经验。
2. 直接使用OD工具进行调试shellcode,得出密钥。
3. 使用shellcode自动解密工具(此方法不推荐使用)。
4。freshow的enumxor有自动枚举密钥的功能,一般常见的带密钥的shellcode都可以枚举出。
最后编辑networkedition 最后编辑于 2010-07-15 15:08:25
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-15 09:38 | 短消息 资料
字号: 16楼

回复:2010年7月15日:网马解密-讲义

呵呵,问题好像有点多。我觉得解网马挺好玩的。
gototop
 
灵魂の低调
头像
自信弱冠狮
  • 帖子:540
  • 注册: 2010-05-19
  • 来自:
实习生小红花
发表于: 2010-07-15 09:38 | 短消息 资料
字号: 17楼

回复:2010年7月15日:网马解密-讲义

你好,请问伪装调用挂马是不是又叫网络钓鱼挂马呢?
我的博客:http://www.echodjb.com
                     

                          echodjb@gmail.com
gototop
 
hellodel
头像
飘泊而立狮
  • 帖子:766
  • 注册: 2010-03-09
  • 来自:
论坛9周年纪念
发表于: 2010-07-15 09:39 | 短消息 资料
字号: 18楼

回复:2010年7月15日:网马解密-讲义

我想问问networkedition老师网马解密中的网站是从哪里获取的?解密出来的网马是怎么处理的?

谢谢networkedition老师!

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

网址绝大多数来源于瑞星云安全拦截到的数据,解密出的网马对于杀软无法查杀的直接上报入库。如有感兴趣分析病毒样本的,可以自己尝试在虚拟机里运行分析病毒行为。
最后编辑networkedition 最后编辑于 2010-07-15 15:11:11
gototop
 
天鹰之翼
头像
飘泊而立狮
  • 帖子:644
  • 注册: 2010-06-22
  • 来自:
实习生小红花
发表于: 2010-07-15 09:49 | 短消息 资料
字号: 19楼

回复:2010年7月15日:网马解密-讲义

问题:
1、在winwebmail解密中,为什么要把《"//》去掉呢?
2、老师,这些解密工具似乎对Base64解码的支持并不好(比如说FreShow只能解出一个b的字符,而malzilla也只能解出一行出来),这是为什么呢?
3、如果网马解出来的是一个CSS或js文件,是不是要追踪这些代码才能找到源头呢?还有,网马的源头一般是什么文件(exe或com)?


剩下的想到再问,谢谢老师。
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:
1. 干扰字符,有些网马里有很多类似干扰字符,主要用来迷惑或遮人耳目。

2. freshow工具有bug吧,无法解密base64加密。工具不是万能的呀

3. 对于解密出来的网马css或js可以直接下载后查看源代码来判断是否为最终的网马(即病毒样本),如何判断可参看本帖2楼的截图。
最后编辑networkedition 最后编辑于 2010-07-15 15:16:33
gototop
 
wangxiaoyu1101
头像
自信弱冠狮
  • 帖子:461
  • 注册: 2010-06-27
  • 来自:
实习生小红花
发表于: 2010-07-15 10:30 | 短消息 资料
字号: 20楼

回复:2010年7月15日:网马解密-讲义

好快啊,赶紧来占个座啊。老师辛苦了

networkedition老师好,我想问一下。
我记得以前网页的扩展名是html,而现在保存的网页都是htm格式的,而且也没有那个存储图片等数据的文件夹了,这是什么原因啊?
谢谢老师了

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:
这个是正常的吧,也是html和htm的区别所在。要看你保存为什么扩展名了。
最后编辑networkedition 最后编辑于 2010-07-15 15:17:57
gototop
 
<<上一主题|下一主题>>
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT