瑞星卡卡安全论坛技术交流区恶意网站交流 关于(猫扑网)网马解密的方法

1   1  /  1  页   跳转

[讨论] 关于(猫扑网)网马解密的方法

关于(猫扑网)网马解密的方法

今天辛达MM也问其这个网马如何解密,前两天09kaka同学MS也有疑问,这里我就写一下解密方法。
主要是这个地方:hXXp://bbs.game.mop.com/include/javascript/ajax.js
关键位置:发现有eval,然后立刻想到networkdition老师经常提起的alert替换的方法。把蓝色标记出来的地方复制到记事本上,命名为1.html,然后进行处理。

处理后的代码为:


注意:添加代码的时候记得把后面的两个类“}}”符号去掉,分析上面的代码可以得知是两个IF语句的判断,语句是以分号结束,后面多出两个字符,浏览器就无法解释了,导致无法弹出。

获取的地址:hXXp://www.fm5.cn/ucenter/api/js.js
使用同样的方法继续解密:

然后就明显了

一直都没失效。刚才在网吧一台没打补丁的机器上测试,貌似是个下载者。
hxxp://www.fm5.cn/ucenter/api/game.exe

我以为就我以前知识没打好,看来很多同学都没打好,大家也要注意基础知识,还有就是认真。


networkdition老师原帖地址:http://bbs.ikaka.com/showtopic-8744344.aspx
-m老师详细分析referrer:http://bbs.ikaka.com/showtopic-8744351.aspx
百度参考链接:http://zhidao.baidu.com/question/72543450.html?fr=ala0

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
本帖被评分 3 次
最后编辑jks_风 最后编辑于 2010-08-09 23:11:11
分享到:
gototop
 

回复:关于(猫扑网)网马解密的方法

明白了

谢谢风
要深入,要专一.......
gototop
 

回复:关于(猫扑网)网马解密的方法

还有我哦。。。-m老师~~~吼吼~~~
gototop
 

回复:关于(猫扑网)网马解密的方法

测试了病毒貌似不能运行
gototop
 

回复 3F Anges() 的帖子

师傅 丢人了 以后不熬夜了 熬夜再解网马就一杯具 

为啥我不看题目呢?
gototop
 

回复:关于(猫扑网)网马解密的方法

这个大括号确实搞乱了
开始看见if(p>0)下面有个{ ,所以直接去掉对应的最后一个 }
前两天看到你那个帖子 改用notepad++打开 看到对称括号了

好好学习 天天向上 找个老婆 生个小胖
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT