瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密每日一练(十一)
networkedition - 2010-3-10 13:31:00


引用:
要分析的链接地址:http://job.icxo.com/js/tools/main.htm

要求:将解密重要过程截图上传,并附最终解密日志,跟帖回复即可,并设置隐藏[hide][/hide],附件(图)设置权限为255
解密工具:freshow、redoce、在线解密:http://issmall.isgreat.org/等。

注意事项:1、禁止使用md的自动解密功能。如发现一次使用md自动解密工具,直接踢出实习生学习组
                  2、使用解密工具解密时,如遇安全软件拦截,请暂时关闭监控即可
                  3、 最终的网马地址一定要禁用url。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
梅罗 - 2010-3-10 13:47:00
***** 该内容需回复才可浏览 *****
hqvip - 2010-3-10 13:51:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg
WangAnwu - 2010-3-10 16:20:00
***** 该内容需回复才可浏览 *****


附件: 100310.txt
随缘92WJC - 2010-3-10 16:49:00
***** 该内容需回复才可浏览 *****


附件: 9.jpg
微米天空 - 2010-3-10 17:09:00
***** 该内容需回复才可浏览 *****


附件: 02.jpg
辛达星郁 - 2010-3-10 17:27:00
***** 该内容需回复才可浏览 *****
主要是清除“%”的干扰,随后就是按照常规方法解密即可
 附件: 您所在的用户组无法下载或查看附件
暗夜的雪 - 2010-3-10 17:31:00
***** 该内容需回复才可浏览 *****


附件: QQ截图未命名1.png

附件: QQ截图未命名2.png

附件: QQ截图未命名3.png
完颜无泪 - 2010-3-10 18:15:00
[hide]首先是取出转义字符 然后从其中的网址中发现一段shellcode  二次esc 后得到网马地址
如图
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

关于:hxxp://job.icxo.com/js/tools/main.htm解密的日志(全体输出 -  22):

Level  0>http://job.icxo.com/js/tools/main.htm
Level  1>http://job.icxo.com/js/tools/thunder.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/real.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/bf.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/lz.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/ac.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/14.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/works.htm
Level  2>http://job.icxo.com/js/z.exe
Level  1>http://job.icxo.com/js/tools/imok.htm
Level  2>http://job.icxo.com/js/tools/sviolaoding.swf
Level  2>http://job.icxo.com/js/tools/high
Level  2>http://job.icxo.com/js/tools/sviolaoding.swf
Level  2>http://www.macromedia.com/go/getflashplayer
Level  2>http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0
Level  2>http://job.icxo.com/js/z.exe

日志由 Redoce1.9第26次修正版于 2010-3-10 下午 06:15:04 生成。
微米天空 - 2010-3-10 18:40:00
哈哈~~大家都是看了别人的才发现原来自己漏解了~~惯性思维导致所有的页面解出的网马都是一样的~~教训教训那!
网马解密需要耐心!
今天学到了,相信这也是老师今天题目的意义吧~
SpeW - 2010-3-10 18:58:00
***** 该内容需回复才可浏览 *****
Log is generated by FreShow.
[wide]http://job.icxo.com/js/tools/main.htm
    [frame]http://job.icxo.com/js/tools/Imok.htm
        [object]http://job.icxo.com/js/z.exe
        [object]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0
    [frame]http://job.icxo.com/js/tools/Works.htm
    [frame]http://job.icxo.com/js/tools/14.htm
    [frame]http://job.icxo.com/js/tools/Ac.htm
    [frame]http://job.icxo.com/js/tools/Lz.htm
    [frame]http://job.icxo.com/js/tools/Bf.htm
    [frame]http://job.icxo.com/js/tools/Real.htm
    [frame]http://job.icxo.com/js/tools/Thunder.htm
    [frame]http://job.icxo.com/js/tools/sina.htm


 附件: 您所在的用户组无法下载或查看附件



 附件: 您所在的用户组无法下载或查看附件
Iris1011 - 2010-3-10 19:15:00
***** 该内容需回复才可浏览 *****
小傻大呆 - 2010-3-10 19:22:00
***** 该内容需回复才可浏览 *****
.
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
by02304501 - 2010-3-10 19:30:00
***** 该内容需回复才可浏览 *****


附件: 网马解密作业11.rar
小棉花ZY - 2010-3-10 19:48:00
***** 该内容需回复才可浏览 *****
jks_风 - 2010-3-10 20:51:00
***** 该内容需回复才可浏览 *****
Luke8 - 2010-3-10 21:05:00
***** 该内容需回复才可浏览 *****
竹枝雨 - 2010-3-10 21:10:00
[hide]
以下是Freshow解密出来后的日志:

Log is generated by FreShow.
[wide]http://job.icxo.com/js/tools/main.htm
    [frame]http://job.icxo.com/js/tools/Imok.htm
        [object]http://job.icxo.com/js/tools/sviolaoding.swf
        [object]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0
        [object]http://www.macromedia.com/go/getflashplayer
    [frame]http://job.icxo.com/js/tools/Works.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/14.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/Ac.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/Lz.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/Bf.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/Real.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/Thunder.htm
        [object]http://job.icxo.com/js/z.exe
    [frame]http://job.icxo.com/js/tools/sina.htm
        [object]http://job.icxo.com/js/z.exe

大致步骤如下:
1、将网址http://job.icxo.com/js/tools/main.htm  Check后,得到网页源代码,进行Esc解密

 附件: 您所在的用户组无法下载或查看附件

2.其中有一些<iframe>等脚本语言,要用Qeye进行过滤,得到右边数据收集区的一些可以网马地址

 附件: 您所在的用户组无法下载或查看附件

3.对每个可以地址在进行解密,都为shellcode类型,图略,就得到上面日志的结果,用log日志输出,得到上面的结果。


 附件: 您所在的用户组无法下载或查看附件
[/hide]
竹枝雨 - 2010-3-10 21:12:00
看了楼上的,貌似我还落下了几个啊,不够仔细啊:kaka4:
柠檬elf - 2010-3-10 21:15:00
***** 该内容需回复才可浏览 *****


附件: 3.10 2.jpg

附件: log.txt
迷失の坏坏 - 2010-3-10 21:21:00
***** 该内容需回复才可浏览 *****


附件: 1.jpg

附件: 2.jpg
DragonKid - 2010-3-10 21:22:00
关于:hxxp://job.icxo.com/js/tools/main.htm解密的日志(全体输出 -  23):
Level  0>http://job.icxo.com/js/tools/main.htm
Level  1>http://job.icxo.com/js/tools/sina.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Thunder.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Real.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Bf.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Lz.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Ac.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/14.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Works.htm
Level  2>http://job.icxo.com/js/z.exe ●
Level  1>http://job.icxo.com/js/tools/Imok.htm
Level  2>http://job.icxo.com/js/tools/sviolaoding.swf ●
Level  2>http://job.icxo.com/js/tools/High
Level  2>http://job.icxo.com/js/tools/sviolaoding.swf ●
Level  2>http://www.macromedia.com/go/getflashplayer
Level  2>http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0
日志由 Redoce2.0第88次修正版于 2010-3-10 21:18:59 生成。


基本上是转义符和shellcode组合的加密方式


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
飘零の翼 - 2010-3-10 22:29:00
[hide]
shellcode加密
 附件: 您所在的用户组无法下载或查看附件
[/hide]

附件: 1.txt
njuptzc - 2010-3-10 22:58:00

 附件: 您所在的用户组无法下载或查看附件

附件: 网马解密.txt
念初 - 2010-3-10 23:36:00
***** 该内容需回复才可浏览 *****

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
hglbird - 2010-3-11 0:04:00
***** 该内容需回复才可浏览 *****


附件: 4.jpg

附件: 6.jpg

附件: 8.jpg

附件: 10.jpg
防潮生生世世 - 2010-3-11 3:04:00
***** 该内容需回复才可浏览 *****


附件: 2.jpg

附件: 4.jpg

附件: 6.jpg

附件: 8.jpg
1
查看完整版本: 网马解密每日一练(十一)
© 2000 - 2026 Rising Corp. Ltd.