瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密每日一练(二)
小棉花ZY - 2010-2-9 19:40:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 4.jpg
SpeW - 2010-2-9 19:44:00

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
Kaisir - 2010-2-9 19:45:00
额 真不好意思 我回帖回到主贴上去了。。。
晕了。。今天太忙了 郁闷
麻烦您移步。。。
http://bbs.ikaka.com/showtopic-8695370-2.aspx#10264899
非常感谢。。。
竹枝雨 - 2010-2-9 19:57:00

[hide]

步骤如下:


1.将下载的xp07004.htm用记事本打开,将代码复制到freshow。

2.用US-ASCII解码,得到如下图的结果。

 附件: 您所在的用户组无法下载或查看附件

3.将代码中的不需要的部分删掉,删掉的两个部分见下图。

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

4.将剩余的代码用Connect进行过滤(Filter),结果见如下截图。

 附件: 您所在的用户组无法下载或查看附件

5.将下操作区中网马结果Up到上操作区,删掉部分多余代码。

6.将结果用Esc进行两次解密,见下两张截图。

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件

7.网马地址是http://www.gy.net.cn/member/t.exet.exe

[/hide]

柠檬elf - 2010-2-9 20:44:00
来晚了。。收拾家来
***** 该内容需回复才可浏览 *****


附件: 二手车.jpg

附件: 最终网址.jpg

附件: log.txt
wanghy11111 - 2010-2-9 20:52:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
双鱼幻影 - 2010-2-9 21:12:00
[hide]

Log is generated by FreShow.
    [object]http://www.gy.net.cn/member/t.exet.exe

 附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 2.rar
小傻大呆 - 2010-2-9 21:38:00
***** 该内容需回复才可浏览 *****



附件: 1.jpg

附件: 2.jpg

附件: 3.jpg

附件: 2222.jpg

附件: 1.jpg

附件: 3.jpg
zhangpc30 - 2010-2-9 23:50:00
[hide]
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件[/hide]
东蛇西鹿 - 2010-2-10 0:07:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
漂流使者 - 2010-2-10 0:38:00
[hide]
使用freshow或下载附件得到网页源代码
发现US-ASCII加密特点

 附件: 您所在的用户组无法下载或查看附件
  去掉无用部分后使用US-ASCII解码,得到解码后的代码
    解码后仍无法找到连接,但发现为shellcode加密特征
   
 附件: 您所在的用户组无法下载或查看附件
  此代码已为%u的字符形式,所以直接进行两次ESC即可发现连接



 附件: 您所在的用户组无法下载或查看附件





 附件: 您所在的用户组无法下载或查看附件
日志文件:Log is generated by FreShow.
          [wide]http://www.gy.net.cn/member/xp07004.htm
          [object]http://www.gy.net.cn/member/t.exet.exe
[/hide]
German+Paul - 2010-2-10 0:59:00
[hide]
[hide]
1.第一步判断,代码中含有<meta http-equiv="Content-Type" c />,判断用US-ASCLL解密:
第一步解密如下:
 附件: 您所在的用户组无法下载或查看附件
2.解密后出现%u,用ESC一次后出现\x,再用一次ESC,得到网马地址如下图:

 附件: 您所在的用户组无法下载或查看附件
3.附上文档(不太习惯用freshow,前几次用的是decoder...日志基本是敲出来的...望老师见谅~但是马是解出来的~)
[/hide]

附件: 2月9日German+Paul网马解密文档.txt
sunshinehao - 2010-2-10 1:01:00
:kaka1: 做好了[hide]http://www.gy.net.cn/member/t.exet.exe

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件



[/hide]

附件: 第二次网马日志.txt
木之叶 - 2010-2-10 4:04:00
[hide]
网址check后 先US-ASCII然后ESC两次 得到如下
Log is generated by FreShow.
[wide]http://www.gy.net.cn/member/xp07004.htm
    [object]http://www.gy.net.cn/member/t.exet.exe

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
[/hide]
防潮生生世世 - 2010-2-10 5:31:00
***** 该内容需回复才可浏览 *****


附件: 222.jpg
筠林碧湫 - 2010-2-10 8:27:00
***** 该内容需回复才可浏览 *****


附件: 2.9练习2.jpg
12
查看完整版本: 网马解密每日一练(二)
© 2000 - 2026 Rising Corp. Ltd.