瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密每日一练(三)
networkedition - 2010-2-10 13:16:00


引用:
小结:昨日的网马练习大家完成的都不错,希望大家能再接再厉。但是有个别的学员未按照相关要求来完成练习。今天的练习请大家参照随缘92WJC学员的帖子:http://bbs.ikaka.com/showtopic-8695405.aspx格式来提交练习题答案 。




引用:
要分析的链接地址:http://zzj520.91.tc/zzj.htm

要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url


请使用两种方法来进行解密

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

附件: zzj.rar
ty88 - 2010-2-10 13:18:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 1.jpg
jks_风 - 2010-2-10 13:20:00
***** 该内容需回复才可浏览 *****
梦幻の星oо - 2010-2-10 13:23:00
***** 该内容需回复才可浏览 *****
暗夜的雪 - 2010-2-10 13:26:00
***** 该内容需回复才可浏览 *****


附件: QQ截图未命名1.png
Kaisir - 2010-2-10 13:28:00
***** 该内容需回复才可浏览 *****
DragonKid - 2010-2-10 13:35:00
***** 该内容需回复才可浏览 *****
ty88 - 2010-2-10 13:51:00
这东东多老了。。。
MS06-014。。。。
神奇学生2 - 2010-2-10 13:54:00
***** 该内容需回复才可浏览 *****


附件: 1.jpg
小傻大呆 - 2010-2-10 13:55:00
***** 该内容需回复才可浏览 *****


附件: 1.jpg

附件: 2.jpg

附件: 2.jpg
ty88 - 2010-2-10 13:57:00
不要先回复在编辑好不咯,我答案没设权限。。
希望大家一次解密成功
微米天空 - 2010-2-10 14:06:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件




 附件: 您所在的用户组无法下载或查看附件




 附件: 您所在的用户组无法下载或查看附件
双鱼幻影 - 2010-2-10 14:09:00
[hide]
第一种方法:根据第一个解密练习分析出来关键点在document.write(t),改为alert保存后得到地址


 附件: 您所在的用户组无法下载或查看附件


第二种方法:1.提出t中的内容

 附件: 您所在的用户组无法下载或查看附件
                    2.利用网上的十进制解密得出地址

 附件: 您所在的用户组无法下载或查看附件

[/hide]
不知名的剑 - 2010-2-10 14:24:00
***** 该内容需回复才可浏览 *****


附件: url.png

附件: 日志.png
Iris1011 - 2010-2-10 14:28:00
***** 该内容需回复才可浏览 *****
梅罗 - 2010-2-10 14:29:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
完颜无泪 - 2010-2-10 14:30:00
***** 该内容需回复才可浏览 *****


附件: 2.JPG
ty88 - 2010-2-10 14:38:00
你怎么解密的,错了重做
随缘92WJC - 2010-2-10 14:46:00
***** 该内容需回复才可浏览 *****


附件: 2-1.jpg

附件: 02.jpg
辛达星郁 - 2010-2-10 15:02:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 6.jpg
小棉花ZY - 2010-2-10 15:07:00
***** 该内容需回复才可浏览 *****


附件: 021002.jpg
867062837 - 2010-2-10 15:16:00
[hide]
:kaka8: Log is generated by FreShow.
[unknown]
    [object]http://zzj520.91.tc/zzj.exe


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
[/hide]
Luke8 - 2010-2-10 15:16:00
***** 该内容需回复才可浏览 *****


附件: 1.txt

附件: 2.jpg

附件: fre.jpg
稻香儿 - 2010-2-10 15:24:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
hqvip - 2010-2-10 15:31:00
[hide]方法一:
          观察代码,发现“document.write”特征,即采用alert替换并保存为.htm文件,运行后对话框显示网马真实地址(图1),生成解密日志。

方法二:
          换个角度观察代码,想到十进制解密,进入http://issmall.isgreat.org/进行在线十进制解密,得到结果(图2),生成解密日志。

附解密日志:
Log is generated by FreShow.
[wide]http://zzj520.91.tc/zzj.htm
    [object]http://zzj520.91.tc/Http://zzj520.91.tc/zzj.exe

[attach]594433[/attach]
[/hide]

附件: 1.JPG
happysunday2003 - 2010-2-10 15:36:00
***** 该内容需回复才可浏览 *****


附件: 未命名.JPG
zhaopeng19891114 - 2010-2-10 15:38:00
***** 该内容需回复才可浏览 *****
点击url:粘贴地址不到右侧 ,老师帮帮吗?初学不会用,

附件: 2-10.rar
若来 - 2010-2-10 15:48:00
[hide]
第一种方法:清除document

 附件: 您所在的用户组无法下载或查看附件
关于:解密的日志(全体输出 -  1):
Level  1>hxxp://zzj520.91.tc/zzj.exe
日志由 Redoce2.0第88次修正版于 2010-2-10 15:44:38 生成。

第二种方法:10进制解密

 附件: 您所在的用户组无法下载或查看附件
[/hide]
yyg747 - 2010-2-10 16:24:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件



 附件: 您所在的用户组无法下载或查看附件
无敌的鹤鹤 - 2010-2-10 16:51:00

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
12
查看完整版本: 网马解密每日一练(三)
© 2000 - 2026 Rising Corp. Ltd.