网马解密每日一练（五） bbs.ikaka.com

networkedition - 2010-3-2 14:13:00

引用:

要分析的链接地址：http://s33.idc.xpli.cn/ms/mm.htm

要求：将解密重要过程截图上传，并附最终解密日志，跟帖回复即可，并设置隐藏[hide][/hide]，附件（图）设置权限为255
解密工具：freshow、redoce、在线解密：http://issmall.isgreat.org/等。

注意事项：1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具，直接踢出实习生学习组
2、使用解密工具解密时，如遇安全软件拦截，请暂时关闭监控即可
3、最终的网马地址一定要禁用url。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

DragonKid - 2010-3-2 14:28:00

附件: QQ截图未命名.jpg

附件: QQ截图未命名1.jpg

念初 - 2010-3-2 14:38:00

附件: 您所在的用户组无法下载或查看附件

梅罗 - 2010-3-2 14:53:00

附件: 3.jpg

小棉花ZY - 2010-3-2 15:13:00

附件: 02.jpg

完颜无泪 - 2010-3-2 15:21:00

引用:

日志格式不对，木马地址要在日志里体现呀，参考练习题的答案格式。

附件: 4.jpg

hqvip - 2010-3-2 15:21:00

附件: 2.jpg

漂流使者 - 2010-3-2 16:45:00

[hide]
通过freshow获得网页源代码

分析源代码

1.在代码中发现有document.write特征，内有地址，但地址格式混乱，一次ESC后在document.write框内发现连接,之后未发现其他网马特征

附件: 您所在的用户组无法下载或查看附件
2.点击Filter 一共收集到4个连接（包括上面那个http://s33.idc.xpli.cn:8088/ms/014.js），其中第一个为本网页连接，可以忽略，逐个分析其他三个连接

附件: 您所在的用户组无法下载或查看附件
3.分析http://s33.idc.xpli.cn:8088/ms/014.js
check后直接在上操作区域发现网马地址：http://s33.idc.xpli.cn:8088/ms/014.exe（本人还将此代码ESC了一次，但未发现异常）

附件: 您所在的用户组无法下载或查看附件

4.分析http://s33.idc.xpli.cn:8088/ms/of.htm 未发现异常，点击Filter后在收集区域又出现两个连接：逐个进行分析。

附件: 您所在的用户组无法下载或查看附件

（1）分析/of1.htm后未发现异常
（2）分析/of.htm后发现shellcode特征，由于已改未%u模式ESC两次后发现网马地址：

附件: 您所在的用户组无法下载或查看附件

5.分析/ms/go.jpg后发现shellcode特征，由于已改未%u模式两次ESC后得到网马地址：

附件: 您所在的用户组无法下载或查看附件

Log is generated by FreShow.
[wide]http://s33.idc.xpli.cn/ms/mm.htm
[script]http://s33.idc.xpli.cn:8088/ms/014.js
[object]http://s33.idc.xpli.cn:8088/ms/014.exe
[frame]http://s33.idc.xpli.cn:8088/ms/of.htm
[script]http://s33.idc.xpli.cn:8088/ms/of.js
[object]http://s33.idc.xpli.cn:8088/ms/ofe.css
[script]http://s33.idc.xpli.cn:8088/ms/of1.css
[script]http://s33.idc.xpli.cn:8088/ms/go.jpg
[object]http://s33.idc.xpli.cn:8088/ms/mpg.exe

[/hide]

jks_风 - 2010-3-2 17:40:00

附件: 您所在的用户组无法下载或查看附件

暗夜的雪 - 2010-3-2 17:49:00

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

网马比较简单，都是两次ESC就能得出的。我猜测这个ofe.css改成ofe.exe就能运行的马~ 还有一个教训啊！！！！不是所有网马都加过密的~~

筠林碧湫 - 2010-3-2 18:01:00

想问一下看前面同学共解出了三个网马其中一个是由http://s33.idc.xpli.cn/ms/http:\/\/s33.idc.xpli.cn:8088\/ms\/014.js解出可我在用freshow时显示Error ID:400 这是为什么呀

附件: 3.2练习2.jpg

朱小朱 - 2010-3-2 18:12:00

引用:

原帖由 筠林碧湫 于 2010-3-2 18:01:00 发表
此次网马还是shellcode形式

基本所有的的溢出网马都得以shellcode的形式存在

朱小朱 - 2010-3-2 18:15:00

Log is generated by FreShow.
[wide]http://s33.idc.xpli.cn/ms/mm.htm
[script]http://s33.idc.xpli.cn:8088/ms/014.js
[object]http://s33.idc.xpli.cn:8088/ms/014.exe
[frame]http://s33.idc.xpli.cn:8088/ms/of.htm
[script]http://s33.idc.xpli.cn:8088/ms/of.js
[object]http://s33.idc.xpli.cn:8088/ms/ofe.css
[script]http://s33.idc.xpli.cn:8088/ms/of1.css
[script]http://s33.idc.xpli.cn:8088/ms/go.jpg
[object]http://s33.idc.xpli.cn:8088/ms/mpg.exe

Luke8 - 2010-3-2 18:32:00

Iris1011 - 2010-3-2 18:49:00

附件: 您所在的用户组无法下载或查看附件

附件: 1.png

附件: 2.png

附件: 3.png

附件: 4.png

随缘92WJC - 2010-3-2 18:55:00

附件: 2.jpg

附件: 4.jpg

小傻大呆 - 2010-3-2 18:57:00

附件: 您所在的用户组无法下载或查看附件

辛达星郁 - 2010-3-2 19:03:00

附件: 您所在的用户组无法下载或查看附件

柠檬elf - 2010-3-2 19:20:00

附件: 3.2(2).jpg

附件: log.txt

wanghy11111 - 2010-3-2 19:30:00