瑞星卡卡安全论坛技术交流区恶意网站交流 网马解密悬赏第五十一期(已结束)

1   1  /  1  页   跳转

[悬赏] 网马解密悬赏第五十一期(已结束)

收藏
本主题由 大版主 networkedition 于 2010-8-10 12:53:00 执行 关闭主题/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-08-10 09:41 | 只看楼主 短消息 资料
字号: 1楼

网马解密悬赏第五十一期(已结束)



引用:
解密地址:http://www.harasdigital.com.br/harasisas/uppm.htm




引用:
规则:1.一次解完并附解密日志和步骤(包含swf和pdf网马),奖赏10威望,如果部分解出,每步奖赏2威望;
            2. 如地址失效,请下载附件源代码来进行解密。
            3.对于积极参与此活动会员,并多次中奖者,我们可以诚邀加入卡卡反病毒小组

 

引用:
解密工具:
  Freshow(中文版)
  Redoce(中文版)
  Malzilla (汉化版)

     
 

引用:
在线解析站点:
        http://glacierlk.cn/openlab/jm.htm
        http://www.cha88.cn/

   

引用:
注:论坛所有会员均可参加,严禁使用md的自动解密功能


   

引用:
恶意网址来源瑞星全功能安全软件拦截到真实有效的地址




用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件附件:

文件名:uppm.rar
下载次数:543
文件类型:application/octet-stream
文件大小:
上传时间:2010-8-10 9:41:03
描述:rar

最后编辑networkedition 最后编辑于 2010-08-10 12:52:44
分享到:
gototop
 
Anges()
头像
拙长孩提狮
  • 帖子:86
  • 注册: 2010-04-26
  • 来自:
发表于: 2010-08-10 09:43 | 短消息 资料
字号: 2楼

回复:网马解密悬赏第五十一期

在此观站小白解密~~~
gototop
 
Cool_wXd
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2009-06-25
  • 来自:
发表于: 2010-08-10 09:47 | 短消息 资料
字号: 3楼

回复:网马解密悬赏第五十一期

留贴跟踪
ZCV
gototop
 
Anges()
头像
拙长孩提狮
  • 帖子:86
  • 注册: 2010-04-26
  • 来自:
发表于: 2010-08-10 09:51 | 短消息 资料
字号: 4楼

回复 3F Cool_wXd 的帖子

.gif
gototop
 
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-08-10 10:36 | 短消息 资料
字号: 5楼

回复: 网马解密悬赏第五十一期

解完保存 瑞星报毒

附件附件:

文件名:ascii.txt
下载次数:426
文件类型:text/plain
文件大小:
上传时间:2010-8-10 10:36:08
描述:txt

最后编辑09kaka 最后编辑于 2010-08-10 10:37:36

好好学习 天天向上 找个老婆 生个小胖
gototop
 
Anges()
头像
拙长孩提狮
  • 帖子:86
  • 注册: 2010-04-26
  • 来自:
发表于: 2010-08-10 10:38 | 短消息 资料
字号: 6楼

回复 5F 09kaka 的帖子

网马地址url 在哪?  你发的txt里ms没有。
gototop
 
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-08-10 10:42 | 短消息 资料
字号: 7楼

回复 6F Anges() 的帖子

这个等楼下回答

应该是zcv.gif
最后编辑09kaka 最后编辑于 2010-08-10 11:01:12

好好学习 天天向上 找个老婆 生个小胖
gototop
 
leo108
头像
反毒学员
  • 帖子:648
  • 注册: 2010-01-11
  • 来自:
实习生小红花
发表于: 2010-08-10 11:01 | 短消息 资料
字号: 8楼

回复: 网马解密悬赏第五十一期

先用freshow check获取网页代码,然后复制代码到一个html文件,把文件里面的document.write(unescape(HJN));更改为document.write(HJN);


然后打开这个html文件
得到加密后的代码

全选复制后,在freshowesc获取代码


function md2c下发现一行可疑代码
var urlRealExe = insertURL2('zcv.gif');
查看function insertURL2
发现是获取当前目录地址+参数,也就是说,urlRealExe = hxxp://www.harasdigital.com.br/harasisas/zcv.gif
原本以为还有下一步解密,于是freshow查看zcv.gif,结果一堆乱码。。。。。。思路断了,后来用迅雷下载zcv.gif,用瑞星扫描不报毒,bitdenfender报木马。于是得出:zcv.gif即是木马,改了后缀而已,可能针对瑞星做了免杀。
本帖被评分 2 次
最后编辑leo108 最后编辑于 2010-08-10 11:23:03
世界上有10种人,一种懂二进制,一种不懂……
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-08-10 11:47 | 短消息 资料
字号: 9楼

回复:网马解密悬赏第五十一期

杯具了,原来我早就解密出来了,只是没看题目。
解密地址:http://www.harasdigital.com.br/harasisas/uppm.htm

其实不用leo同学的解密方法,直接alert替换就可以直接解密出来了。一直在哪里绕圈圈
zcv.gif加上networkdition老师给出的网马地址即可。

刚才请教了下-m老大,直接被训

以后千万不能熬夜了。熬夜第二天头就晕晕的
gototop
 
Anges()
头像
拙长孩提狮
  • 帖子:86
  • 注册: 2010-04-26
  • 来自:
发表于: 2010-08-10 12:35 | 短消息 资料
字号: 10楼

回复 9F jks_风 的帖子

你这里所说的alert有点不准确也。
万一,alert被截断了呢。 而真实的网马地址在最后面,你又看不见怎么办。。。。
最好最直观的办法就是让他输入在文本框里。。。。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT