瑞星卡卡安全论坛

附件: 002.JPG

[hide]
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件[/hide]

附件: 32.jpg

附件: 2.10练习2.jpg

[hide]先把document.write换成alert

保存后改为htm

网马：http://zzj520.91.tc/zzj.exe[/hide]

附件: 2月10号练习.rar

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

[hide]
十进制加密  吧document.write换成alert

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 解密日志.txt

hide]
 附件: 您所在的用户组无法下载或查看附件[[/hide]

我解密不出来:kaka5: ，用Freshow解了，就很多数字
另外我不明白大家所说的“将Document.Write替换为ALERT”是什么意思，没学过JS。。。
还有每次我按照大家所说的方法保存为htm文件以后，一保存就被杀毒软件杀掉了，根本没法打开看。请问老师难道解密这个的时候不能开杀毒软件吗？
不懂的太多，不好意思哈

[hide]
步骤如下：
1.将zzj.htm用记事本打开。
2.将红框部分用alert替换，并保存为htm格式，截图如下。

 附件: 您所在的用户组无法下载或查看附件
3.运行保存后的htm文件，产生一个提示框，截图如下。



4.网马地址为http://zzj520.91.tc/zzj.exe
[/hide]

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件

附件: 第二种.jpg

[hide]
今天的网马解密直接用一次D>Document.Write清除就可搞定~
截图如下：

 附件: 您所在的用户组无法下载或查看附件
2.解出网马地址如下：

 附件: 您所在的用户组无法下载或查看附件
3.日志：
[/hide]

附件: 2月10日网马解密日志.txt

[hide]
使用freshow或下载附件得到网页源代码
一.分析源代码中的特征码
发现代码中有document.write

 附件: 您所在的用户组无法下载或查看附件


二.分析并找出连接
将document.write 替换为 alert 弹出提示框，发现连接将地址输入freshow并导出日志

 附件: 您所在的用户组无法下载或查看附件

日志：Log is generated by FreShow.
[wide]http://zzj520.91.tc/zzj.htm
[object]Http://zzj520.91.tc/zzj.exe

方法2：使用malzilla
在malzilla的 杂项解密 的 文本试图中输入网页代码
之后点击 十进制解密 后发现连接

 附件: 您所在的用户组无法下载或查看附件


[/hide]

同学聚会回来晚了...:kaka5:

附件: 2.10 2结果.jpg

附件: log1.txt

Lo
 附件: 您所在的用户组无法下载或查看附件

:kaka1:[hide]作业做完了，，一个方法是转换DW的，一个方法是十进制的。都压缩在包里了。所以图就不上传了[/hide]

附件: 第三次网马练习.rar

[hide]
这是最终的日志 通过一次10进制解密就可以的得到
Log is generated by FreShow.
[wide]http://zzj520.91.tc/zzj.htm
    [object]http://zzj520.91.tc/Http://zzj520.91.tc/zzj.exe

 附件: 您所在的用户组无法下载或查看附件

或者将document.write替换成alert执行得到

 附件: 您所在的用户组无法下载或查看附件
[/hide]

[hide]
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件[/hide]