网马解密每日一练（二） bbs.ikaka.com

networkedition - 2010-2-9 13:20:00

引用:

小结：昨日的网马练习大家完成的都不错，希望大家能再接再厉。但是有个别的学员未按照相关要求来完成练习。今天的练习请大家参照随缘92WJC学员的帖子：http://bbs.ikaka.com/showtopic-8695405.aspx格式来提交练习题答案。

引用:

要分析的链接地址：http://www.gy.net.cn/member/xp07004.htm

要求：将解密重要过程截图上传，并附最终解密日志，跟帖回复即可，并设置隐藏[hide][/hide]，附件（图）设置权限为255
解密工具：freshow、redoce、在线解密：http://issmall.isgreat.org/等。

注意事项：1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具，直接踢出实习生学习组
2、使用解密工具解密时，如遇安全软件拦截，请暂时关闭监控即可
3、最终的网马地址一定要禁用url。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: xp07004.rar

暗夜的雪 - 2010-2-9 13:26:00

附件: QQ截图未命名1.png

Iris1011 - 2010-2-9 13:38:00

引用:

链接地址禁用url

附件: 0.png

附件: 1.png

附件: log.txt

随缘92WJC - 2010-2-9 13:39:00

附件: 2-1.jpg

leo108 - 2010-2-9 13:40:00

附件: 2.JPG

ty88 - 2010-2-9 13:45:00

附件: 您所在的用户组无法下载或查看附件

hqvip - 2010-2-9 13:54:00

梅罗 - 2010-2-9 13:55:00

附件: 1.jpg

附件: 2.jpg

附件: 4.jpg

神奇学生2 - 2010-2-9 13:55:00

附件: 您所在的用户组无法下载或查看附件

DragonKid - 2010-2-9 14:00:00

附件: QQ截图未命名2.png

若来 - 2010-2-9 14:02:00

[hide]关于:解密的日志(全体输出 - 1):
[hide]
Level 1>[url=hxxp://www.gy.net.cn/member/t.exet.exe]hxxp://www.gy.net.cn/member/t.exet.exe[/url]
日志由 Redoce2.0第88次修正版于 2010-2-9 13:52:25 生成。

有明显的“US-ASCII”，用FreShow的US-ASCII解码，生成结果：

附件: 您所在的用户组无法下载或查看附件
有明显的shellcode痕迹，因对freshow不怎么熟悉，故将结果复制在redoce中进行‘unicode’解密，得到如下结果：

附件: 您所在的用户组无法下载或查看附件
网马地址就在其中
下面是日志：关于:解密的日志(全体输出 - 2):
Level 1>hXXp://www.gy.net.cn/member/t.exet.exe
Level 1>hXXp://www.gy.net.cn/member/t.exet.exe
日志由 Redoce2.0第88次修正版于 2010-2-9 14:01:00 生成。
[/hide][/hide]

附件: 4.jpg

附件: 5.jpg

微米天空 - 2010-2-9 14:07:00

梦幻の星oо - 2010-2-9 14:15:00

附件: 20.jpg

Luke8 - 2010-2-9 14:27:00

引用:

日志直接贴上来就行了，不用发附件了

附件: 2.jpg

附件: log.txt

fengxingjudy - 2010-2-9 14:30:00

念初 - 2010-2-9 14:31:00

附件: 您所在的用户组无法下载或查看附件

辛达星郁 - 2010-2-9 14:34:00

附件: 22222.jpg

附件: 4444444.jpg

稻香儿 - 2010-2-9 14:55:00

附件: 2.jpg

peterpanbaby - 2010-2-9 14:56:00

[hide]

Log is generated by FreShow.
[wide]http://www.gy.net.cn/member/xp07004.htm
[object]http://www.gy.net.cn/member/t.exet.exe

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件
[/hide]

jks_风 - 2010-2-9 15:06:00

US-ASCII加密的

一下是解密过程截图

附件: 您所在的用户组无法下载或查看附件

不知名的剑 - 2010-2-9 15:17:00

引用:

日志直接贴上来，不用发附件了

附件: 2.png

附件: 最终解密日志.txt

hglbird - 2010-2-9 15:27:00

引用:

最后的日志呢？

附件: 22.jpg

附件: 25.jpg

happysunday2003 - 2010-2-9 15:40:00

附件: 1.png

迷失の坏坏 - 2010-2-9 15:44:00

附件: 第一步.jpg

附件: 最终结果.jpg

yyg747 - 2010-2-9 15:51:00

附件: 您所在的用户组无法下载或查看附件

今天要下雨 - 2010-2-9 16:35:00

[hide]
日志为
Log is generated by FreShow.
[object]http://www.gy.net.cn/member/t.exet.exe
步骤：在Freshow输入地址后

附件: 您所在的用户组无法下载或查看附件
所以选用US-ASCⅡ

附件: 您所在的用户组无法下载或查看附件
接着进行两次ESC

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 2月9日练习.rar

WangAnwu - 2010-2-9 17:20:00

完颜无泪 - 2010-2-9 17:52:00

曾小崔 - 2010-2-9 19:08:00

[hide]]我使用的工具是FreShow
步骤:1.对网址复制到url进行check，得到结果，结果中出现了许多的汉字，则我就确定用us-ascll来解码
2.得到结果，擦看结果出现了很多的%u，并分析，接着需要采用esc的解码方式。
3.得到结果含有很多的/x，分析，需要继续采用esc的解码方式。
4.得到木马地址
最终解密日志如下:
[wide]http://www.gy.net.cn/member/t.exet.exe

附件: 您所在的用户组无法下载或查看附件 [object]http://www.gy.net.cn/member/t.exet.exe
[/hide]

附件: 01.jpg

附件: 02.jpg

飘零の翼 - 2010-2-9 19:35:00

[hide]
US-ASCⅡ加密，用US-ASCⅡ解密后发现还有shellcode加密，通过2次esc解密出网马地址

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 解密日志.txt

瑞星卡卡安全论坛