123   1  /  3  页   跳转

[练习] 网马解密每日一练(五)

收藏
本主题由 版主 狮子座小皮 于 2010-3-3 9:15:07 执行 关闭主题/取消 操作
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2010-03-02 14:13 | 只看楼主 短消息 资料
字号: 1楼

网马解密每日一练(五)



引用:
要分析的链接地址:http://s33.idc.xpli.cn/ms/mm.htm

要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
分享到:
gototop
 
DragonKid
头像
自信弱冠狮
  • 帖子:496
  • 注册: 2009-12-31
  • 来自:
论坛9周年纪念
发表于: 2010-03-02 14:28 | 短消息 资料
字号: 2楼

回复: 网马解密每日一练(五)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
念初
头像
强壮不惑狮
  • 帖子:1021
  • 注册: 2005-07-03
  • 来自:病毒大染缸
论坛9周年纪念10温馨圣诞十周年
发表于: 2010-03-02 14:38 | 短消息 资料
字号: 3楼

回复: 网马解密每日一练(五)


 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
***** 该内容需回复才可浏览 *****
最后编辑念初 最后编辑于 2010-03-02 14:46:34
感染不是你的错
不能修复就是你的不对了
遇到问题请附截图和sreng日志
gototop
 
梅罗
头像
自信弱冠狮
  • 帖子:430
  • 注册: 2010-01-18
  • 来自:永烁星光之地
论坛9周年纪念
发表于: 2010-03-02 14:53 | 短消息 资料
字号: 4楼

回复: 网马解密每日一练(五)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

天地间那一抹不灭的流光 即我
gototop
 
小棉花ZY
头像
自信弱冠狮
  • 帖子:347
  • 注册: 2010-01-21
  • 来自:
发表于: 2010-03-02 15:13 | 短消息 资料
字号: 5楼

回复: 网马解密每日一练(五)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
完颜无泪
头像
快乐黄口狮
  • 帖子:195
  • 注册: 2010-01-02
  • 来自:
发表于: 2010-03-02 15:21 | 短消息 资料
字号: 6楼

回复: 网马解密每日一练(五)

***** 该内容需回复才可浏览 *****


引用:
日志格式不对,木马地址要在日志里体现呀,参考练习题的答案格式。

附件附件:

您所在的用户组无法下载或查看附件

最后编辑完颜无泪 最后编辑于 2010-03-02 17:07:34
gototop
 
hqvip
头像
自信弱冠狮
  • 帖子:389
  • 注册: 2009-09-17
  • 来自:仙源
论坛9周年纪念
发表于: 2010-03-02 15:21 | 短消息 资料
字号: 7楼

回复:网马解密每日一练(五)

***** 该内容需回复才可浏览 *****

附件附件:

您所在的用户组无法下载或查看附件

最后编辑hqvip 最后编辑于 2010-03-02 15:34:49
gototop
 
漂流使者
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2010-01-25
  • 来自:
发表于: 2010-03-02 16:45 | 短消息 资料
字号: 8楼

回复: 网马解密每日一练(五)

[hide]
通过freshow获得网页源代码

分析源代码

1.在代码中发现有document.write特征,内有地址,但地址格式混乱,一次ESC后在document.write框内发现连接,之后未发现其他网马特征

 附件: 您所在的用户组无法下载或查看附件
2.点击Filter 一共收集到4个连接(包括上面那个http://s33.idc.xpli.cn:8088/ms/014.js),其中第一个为本网页连接,可以忽略,逐个分析其他三个连接


 附件: 您所在的用户组无法下载或查看附件
3.分析http://s33.idc.xpli.cn:8088/ms/014.js
check后直接在上操作区域发现网马地址:http://s33.idc.xpli.cn:8088/ms/014.exe(本人还将此代码ESC了一次,但未发现异常)


 附件: 您所在的用户组无法下载或查看附件

4.分析http://s33.idc.xpli.cn:8088/ms/of.htm 未发现异常,点击Filter后在收集区域又出现两个连接:逐个进行分析。

 附件: 您所在的用户组无法下载或查看附件


1)分析/of1.htm后未发现异常
2)分析/of.htm后发现shellcode特征,由于已改未%u模式ESC两次后发现网马地址:


 附件: 您所在的用户组无法下载或查看附件




5.分析/ms/go.jpg后发现shellcode特征,由于已改未%u模式两次ESC后得到网马地址:


 附件: 您所在的用户组无法下载或查看附件

Log is generated by FreShow.
[wide]http://s33.idc.xpli.cn/ms/mm.htm
    [script]http://s33.idc.xpli.cn:8088/ms/014.js
        [object]http://s33.idc.xpli.cn:8088/ms/014.exe
    [frame]http://s33.idc.xpli.cn:8088/ms/of.htm
        [script]http://s33.idc.xpli.cn:8088/ms/of.js
            [object]http://s33.idc.xpli.cn:8088/ms/ofe.css
        [script]http://s33.idc.xpli.cn:8088/ms/of1.css
    [script]http://s33.idc.xpli.cn:8088/ms/go.jpg
        [object]http://s33.idc.xpli.cn:8088/ms/mpg.exe

   






[/hide]
最后编辑漂流使者 最后编辑于 2010-03-02 16:50:20
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-03-02 17:40 | 短消息 资料
字号: 9楼

回复: 网马解密每日一练(五)

***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
最后编辑jks_风 最后编辑于 2010-03-02 17:56:17
gototop
 
暗夜的雪
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2009-12-24
  • 来自:娘胎
论坛9周年纪念
发表于: 2010-03-02 17:49 | 短消息 资料
字号: 10楼

回复: 网马解密每日一练(五)

***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

网马比较简单,都是两次ESC就能得出的。我猜测这个ofe.css改成ofe.exe就能运行的马~  还有一个教训啊!!!!不是所有网马都加过密的~~
最后编辑暗夜的雪 最后编辑于 2010-03-02 17:55:31
娱乐致死还是娱乐至死啊?
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT