相关资料：可参考教程：网马解密系列教程——6.3号更新(winwebmail解密)。

  我先来个抛砖引玉吧，O(∩_∩)O~

Log is generated by FreShow.
[wide]http://mba.dlut.edu.cn
    [script]http://www.yiwucnc.com/member/css/js/js.js
        [frame]http://www.26199.com.cn/bao2/y.htm
            [frame]http://www.26199.com.cn/bao2/index.htm


用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

我的做法是 对所有都先用Decode 、Up然后在filter
Log is generated by FreShow.
[wide]http://www.hzycedu.com
[script]http://www.hzycedu.com/js/BaseFunction.js
[frame]http://www.hzycedu.com/scrollnews.asp
[frame]http://www.hzycedu.com/slideshow.asp
[script]http://wvg9.cn
[script]http://wvg2.cn
[script]http://wvg3.cn
[script]http://wvg4.cn

之后http://wvg9.cn、http://wvg2.cn、http://wvg3.cn、http://wvg4.cn全都失效了吧。。。

ms都失效了，出题前还试了没有失效。

还没看呢

加分顶起

关于:hxxp://www.26199.com.cn/bao2/index.htm解密的日志(全体输出 -  31):

Level  0>http://www.26199.com.cn/bao2/index.htm
Level  1>http://www.26199.com.cn/bao2/yy.htm
Level  2>http://www.26199.com.cn/bao2/14.js
Level  3>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/flash.htm
Level  2>http://www.26199.com.cn/bao2/fgg.html
Level  2>http://www.26199.com.cn/bao2/iggg.html
Level  1>http://www.26199.com.cn/bao2/ippp.htm
Level  2>http://www.26199.com.cn/bao2/real.html
Level  3>http://www.26199.com.cn/bao2/re11.js
Level  4>http://www.23899.com.cn/bao.exe  ●
Level  2>http://www.26199.com.cn/bao2/r.htm
Level  3>http://www.26199.com.cn/bao2/real.js
Level  1>http://www.26199.com.cn/bao2/ip.htm
Level  2>http://www.26199.com.cn/bao2/bf.htm
Level  3>http://www.26199.com.cn/bao2/bf.js
Level  4>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/02.htm
Level  2>http://www.26199.com.cn/bao2/set.js
Level  3>http://www.ddddxxx14.cn/00.css  ●
Level  1>http://www.26199.com.cn/bao2/lz.htm
Level  2>http://www.26199.com.cn/bao2/lz.js
Level  1>http://www.26199.com.cn/bao2/office.htm
Level  2>http://www.26199.com.cn/bao2/office.js
Level  3>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/pef.htm
Level  2>http://www.26199.com.cn/bao2/pef.pdf
Level  3>http://www.23899.com.cn/bao.exe  ●
Level  1>http://www.26199.com.cn/bao2/qb.htm
Level  2>http://www.26199.com.cn/bao2/qb.js
Level  3>http://www.23899.com.cn/bao.exe  ●

此网址由幸福的耗子解密(本人博客www.mouse0232.com)

Level  2>http://www.26199.com.cn/bao2/set.js
Level  3>http://www.ddddxxx14.cn/00.css
为什么 将Game替换为%u，使用freshow两次esc 再用us-ascII 得不到 Level  3>http://www.ddddxxx14.cn/00.css

将Game替换为%u，到这步没有问题，但替换为标准shellcode格式后这个shellcode实际上是带密钥的（XORbc）密钥为bc，再第二次esc前要输入密钥bc后再decode，即可解出上述网址。这个是带密钥的shellcode，不是US-ASCII 加密，不要混淆。不需要再US-ASCII 解密。

因为最后一步需要密钥 就是在esc 按钮后面添加bc

噢。。。谢谢！
我承认没好好学习