网址过于漫长.........内详 =。=

显示全部楼层 · 发表于 2009-9-5 11:44:39

hxxp://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm

关于:hxxp://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm解密的日志(全体输出 -  39):

Level  6>http://www.sapag.com.cn:86/linux/of.js
Level  7>http://sinomedical.cn/tj/51la.exe  ●
Level  5>http://www.sapag.com.cn:86/linux/ytfl.htm
Level  6>http://www.sapag.com.cn:86/linux/ff.html
Level  7>http://www.sapag.com.cn:86/linux/xp.swf  ●
Level  7>http://www.sapag.com.cn:86/linux/done.swf  ●
Level  6>http://www.sapag.com.cn:86/linux/ie.html
Level  7>http://www.sapag.com.cn:86/linux/xp.swf  ●
Level  7>http://www.sapag.com.cn:86/linux/done.swf  ●
Level  4>http://www.sapag.com.cn:86/linux/nyntdxxz.htm
Level  5>http://www.sapag.com.cn:86/linux/092.js
Level  5>http://www.sapag.com.cn:86/linux/091.js
Level  6>http://sinomedical.cn/tj/51la.exe  ●
Level  4>http://www.sapag.com.cn:86/linux/yt.htm
Level  5>http://www.sapag.com.cn:86/linux/f.jpg
Level  5>http://www.sapag.com.cn:86/linux/e.jpg
Level  5>http://www.sapag.com.cn:86/linux/d.jpg
Level  5>http://www.sapag.com.cn:86/linux/c.jpg
Level  5>http://www.sapag.com.cn:86/linux/url.jpg
Level  6>http://sinomedical.cn/tj/51la.exe  ●
Level  5>http://www.sapag.com.cn:86/linux/b.jpg
Level  5>http://www.sapag.com.cn:86/linux/a.jpg
Level  4>http://www.sapag.com.cn:86/linux/nyntd14.htm
Level  5>http://www.sapag.com.cn:86/linux/16.js
Level  5>http://www.sapag.com.cn:86/linux/15.js
Level  5>http://www.sapag.com.cn:86/linux/14.js
Level  6>http://sinomedical.cn/tj/51la.exe  ●
Level  5>http://www.sapag.com.cn:86/linux/17.js
Level  1>http://wushan.zzkjdz.com/wows/js/beianzx.js
Level  1>http://wushan.zzkjdz.com/wows/js/2009tj.js
Level  1>http://wushan.zzkjdz.com/wows/js/chinama.js
Level  1>http://www.sapag.com.cn:86/linux/yy.html
Level  2>http://www.sapag.com.cn:86/linux/yut.htm
Level  3>http://www.sapag.com.cn:86/linux/of.htm
Level  4>http://www.sapag.com.cn:86/linux/of2.jpg
Level  4>http://www.sapag.com.cn:86/linux/of.jpg
Level  4>http://www.sapag.com.cn:86/linux/of1.jpg
Level  4>http://www.sapag.com.cn:86/linux/of.js
Level  5>http://sinomedical.cn/tj/51la.exe  ●

网页分析 By：liujiehua-猫猫

重复已经完美剔除~

显示全部楼层 · 发表于 2009-9-5 11:49:48

这也是理由么，无视之

显示全部楼层 · 发表于 2009-9-5 12:07:13

auto
                              [script]http://wushan.zzkjdz.com/wows/js/chinama.js
                                 [iframe]http://www.sapag.com.cn:86/linux/yy.html
                                    [iframe]http://www.sapag.com.cn:86/linux/nyntd14.htm
                                          [script]http://www.sapag.com.cn:86/linux/17.js
                                          [script]http://www.sapag.com.cn:86/linux/14.js
                                             [exe]http://sinomedical.cn/tj/51la.exe
                                          [script]http://www.sapag.com.cn:86/linux/15.js
                                          [script]http://www.sapag.com.cn:86/linux/16.js
                                    [iframe]http://www.sapag.com.cn:86/linux/yt.htm
                                          [script]http://www.sapag.com.cn:86/linux/a.jpg
                                          [script]http://www.sapag.com.cn:86/linux/b.jpg
                                          [script]http://www.sapag.com.cn:86/linux/url.jpg
                                             [exe]http://sinomedical.cn/tj/51la.exe
                                          [script]http://www.sapag.com.cn:86/linux/c.jpg
                                          [script]http://www.sapag.com.cn:86/linux/d.jpg
                                          [script]http://www.sapag.com.cn:86/linux/e.jpg
                                          [script]http://www.sapag.com.cn:86/linux/f.jpg
                                    [iframe]http://www.sapag.com.cn:86/linux/nyntdxxz.htm
                                          [script]http://www.sapag.com.cn:86/linux/091.js
                                             [exe]http://sinomedical.cn/tj/51la.exe
                                          [script]http://www.sapag.com.cn:86/linux/092.js
                                    [iframe]http://www.sapag.com.cn:86/linux/yut.htm
                                          [iframe]http://www.sapag.com.cn:86/linux/ytfl.htm
                                             [iframe]http://www.sapag.com.cn:86/linux/ff.html
                                                [exe]http://sinomedical.cn/tj/51la.exe
                                             [iframe]http://www.sapag.com.cn:86/linux/ie.html
                                                [exe]http://sinomedical.cn/tj/51la.exe
                                          [iframe]http://www.sapag.com.cn:86/linux/of.htm
                                             [script]http://www.sapag.com.cn:86/linux/of.js
                                                [exe]http://sinomedical.cn/tj/51la.exe
                                             [script]http://www.sapag.com.cn:86/linux/of1.jpg
                                             [script]http://www.sapag.com.cn:86/linux/of.jpg
                                             [script]http://www.sapag.com.cn:86/linux/of2.jpg
                              [script]http://wushan.zzkjdz.com/wows/js/2009tj.js

显示全部楼层 · 发表于 2009-9-5 12:11:55

mdecoder吧。。
我压力大大的说

原始 - http://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm
扫描式跨站分析 - 原始 - http://www.sapag.com.cn:86/linux/yy.html
扫描式跨站分析 - 原始 - http://fougeizhai.zzkjdz.com/classe/hottopwd/20090905/ia3k6gon/topices57_12.htm
扫描式跨站分析 - 原始 - http://kuaininben.zzkjdz.com/menue/hottopwd/20090905/cwan49ru/topices57_117.htm
扫描式跨站分析 - 原始 - http://jionghengfou.zzkjdz.com/menue/hottopwd/20090905/unl18cl7/topices57_66.htm
扫描式跨站分析 - 原始 - http://zhannie.zzkjdz.com/classe/hottopwd/20090905/gdmgsmmr/topices57_30.htm
开始自动解析 - http://www.sapag.com.cn:86/linux/yy.html
L1 - http://www.sapag.com.cn:86/linux/nYnTd14.htm
L1 - http://www.sapag.com.cn:86/linux/yt.htm
L1 - http://www.sapag.com.cn:86/linux/nYnTdxxz.htm
L1 - http://www.sapag.com.cn:86/linux/yut.htm
L2 - http://www.sapag.com.cn:86/linux/17.js
L2 - http://www.sapag.com.cn:86/linux/14.js
L2 - http://www.sapag.com.cn:86/linux/15.js
L2 - http://www.sapag.com.cn:86/linux/16.js
L2 - http://www.sapag.com.cn:86/linux/a.jpg
L2 - http://www.sapag.com.cn:86/linux/b.jpg
L2 - http://www.sapag.com.cn:86/linux/url.jpg
自动解析 - Auto XOR - 高度可疑 - http://sinomedical.cn/tj/51la.exe
L2 - http://www.sapag.com.cn:86/linux/c.jpg
L2 - http://www.sapag.com.cn:86/linux/d.jpg
L2 - http://www.sapag.com.cn:86/linux/e.jpg
L2 - http://www.sapag.com.cn:86/linux/f.jpg
L2 - http://www.sapag.com.cn:86/linux/091.js
自动解析 - Auto XOR - 高度可疑 - http://sinomedical.cn/tj/51la.exe
L2 - http://www.sapag.com.cn:86/linux/092.js
L2 - http://www.sapag.com.cn:86/linux/ytfl.htm
L2 - http://www.sapag.com.cn:86/linux/of.htm
关注 - http://sinomedical.cn/tj/51la.exe
L3 - http://www.sapag.com.cn:86/linux/of.js
自动解析 - Auto XOR - 高度可疑 - http://sinomedical.cn/tj/51la.exe
L3 - http://www.sapag.com.cn:86/linux/of1.jpg
L3 - http://www.sapag.com.cn:86/linux/of.jpg
L3 - http://www.sapag.com.cn:86/linux/of2.jpg

输出的对象 - http://sinomedical.cn/tj/51la.exe

此分析日志由 Illusion Wing 使用 Astox v1 Build 1106 在 2009年9月5日12时11分45秒生成。

显示全部楼层 · 发表于 2009-9-5 12:16:40

起因：http://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm
经过：XXX
结果：http://sinomedical.cn/tj/51la.exe

显示全部楼层 · 发表于 2009-9-5 12:20:09

我发现我不会用astox

显示全部楼层 · 发表于 2009-9-5 12:21:39

以这个地址为例（权当教程了）
1、地址中输入“http://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm ”，单击载入
2、单击“扫描式跨站分析”
3、出来N个地址，比如http://www.sapag.com.cn:86/linux/yy.html这个，然后双击这个地址
4、单击“自动解析”
5、等一会儿

显示全部楼层 · 发表于 2009-9-5 12:26:38

log generated by mdecoder v0.2
[root]http://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm
[script]http://wushan.zzkjdz.com/wows/js/beianzx.js
[script]http://wushan.zzkjdz.com/wows/js/chinama.js
      [iframe]http://www.sapag.com.cn:86/linux/yy.html
         [iframe]http://www.sapag.com.cn:86/linux/nyntd14.htm
            [script]http://www.sapag.com.cn:86/linux/17.js
            [script]http://www.sapag.com.cn:86/linux/14.js
                  [exe]http://sinomedical.cn/tj/51la.exe
            [script]http://www.sapag.com.cn:86/linux/15.js
            [script]http://www.sapag.com.cn:86/linux/16.js
         [iframe]http://www.sapag.com.cn:86/linux/yt.htm
            [script]http://www.sapag.com.cn:86/linux/a.jpg
            [script]http://www.sapag.com.cn:86/linux/b.jpg
            [script]http://www.sapag.com.cn:86/linux/url.jpg
                  [exe]http://sinomedical.cn/tj/51la.exe
            [script]http://www.sapag.com.cn:86/linux/c.jpg
            [script]http://www.sapag.com.cn:86/linux/d.jpg
            [script]http://www.sapag.com.cn:86/linux/e.jpg
            [script]http://www.sapag.com.cn:86/linux/f.jpg
         [iframe]http://www.sapag.com.cn:86/linux/nyntdxxz.htm
            [script]http://www.sapag.com.cn:86/linux/091.js
                  [exe]http://sinomedical.cn/tj/51la.exe
            [script]http://www.sapag.com.cn:86/linux/092.js
         [iframe]http://www.sapag.com.cn:86/linux/yut.htm
            [iframe]http://www.sapag.com.cn:86/linux/ytfl.htm
                  [iframe]http://www.sapag.com.cn:86/linux/ff.html
                     [exe]http://sinomedical.cn/tj/51la.exe
                  [iframe]http://www.sapag.com.cn:86/linux/ie.html
                     [exe]http://sinomedical.cn/tj/51la.exe
                  [iframe]http://www.sapag.com.cn:86/linux/ff.html
                  [iframe]http://www.sapag.com.cn:86/linux/ie.html
                  [iframe]http://www.sapag.com.cn:86/linux/ff.html
                  [iframe]http://www.sapag.com.cn:86/linux/ff.html
            [iframe]http://www.sapag.com.cn:86/linux/of.htm
                  [script]http://www.sapag.com.cn:86/linux/of.js
                     [exe]http://sinomedical.cn/tj/51la.exe
                  [script]http://www.sapag.com.cn:86/linux/of1.jpg
                  [script]http://www.sapag.com.cn:86/linux/of.jpg
                  [script]http://www.sapag.com.cn:86/linux/of2.jpg
[script]http://wushan.zzkjdz.com/wows/js/2009tj.js

显示全部楼层 · 发表于 2009-9-5 12:44:19

关于:hxxp://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm解密的日志(全体输出 -  46):

Level  1>http://www.sapag.com.cn:86/linux/14.js
Level  2>http://sinomedical.cn/tj/51la.exe  ●
Level  1>http://www.sapag.com.cn:86/linux/15.js
Level  1>http://www.sapag.com.cn:86/linux/16.js
Level  1>http://www.sapag.com.cn:86/linux/a.jpg
Level  1>http://www.sapag.com.cn:86/linux/b.jpg
Level  1>http://www.sapag.com.cn:86/linux/url.jpg
Level  2>http://sinomedical.cn/tj/51la.exe  ●
Level  1>http://www.sapag.com.cn:86/linux/c.jpg
Level  1>http://www.sapag.com.cn:86/linux/d.jpg
Level  1>http://www.sapag.com.cn:86/linux/e.jpg
Level  1>http://www.sapag.com.cn:86/linux/f.jpg
Level  1>http://www.sapag.com.cn:86/linux/091.js
Level  2>http://sinomedical.cn/tj/51la.exe  ●
Level  1>http://www.sapag.com.cn:86/linux/092.js
Level  1>http://www.sapag.com.cn:86/linux/ytfl.htm
Level  2>http://www.sapag.com.cn:86/linux/ff.html
Level  3>http://www.sapag.com.cn:86/linux/xp.swf  ●
Level  3>http://www.sapag.com.cn:86/linux/done.swf  ●
Level  3>http://sinomedical.cn/tj/51la.exe10
Level  2>http://www.sapag.com.cn:86/linux/ff.html
Level  2>http://www.sapag.com.cn:86/linux/ie.html
Level  3>http://www.sapag.com.cn:86/linux/xp.swf  ●
Level  3>http://www.sapag.com.cn:86/linux/done.swf  ●
Level  3>http://sinomedical.cn/tj/51la.exe  ●
Level  2>http://www.sapag.com.cn:86/linux/ff.html
Level  2>http://www.sapag.com.cn:86/linux/ie.html
Level  2>http://www.sapag.com.cn:86/linux/ff.html
Level  1>http://www.sapag.com.cn:86/linux/of.htm
Level  2>http://www.sapag.com.cn:86/linux/of2.jpg
Level  2>http://www.sapag.com.cn:86/linux/of.jpg
Level  2>http://www.sapag.com.cn:86/linux/of1.jpg
Level  2>http://www.sapag.com.cn:86/linux/of.js
Level  3>http://sinomedical.cn/tj/51la.exe  ●
Level  1>http://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm
Level  1>http://wushan.zzkjdz.com/wows/js/beianzx.js
Level  1>http://wushan.zzkjdz.com/wows/js/chinama.js
Level  1>http://wushan.zzkjdz.com/wows/js/2009tj.js
Level  1>http://www.sapag.com.cn:86/linux/yy.html
Level  1>http://www.sapag.com.cn:86/linux/nyntd14.htm
Level  1>http://www.sapag.com.cn:86/linux/yt.htm
Level  1>http://www.sapag.com.cn:86/linux/nyntdxxz.htm
Level  1>http://www.sapag.com.cn:86/linux/yut.htm
Level  1>http://www.sapag.com.cn:86/linux/17.js
Level  1>http://www.sapag.com.cn:86/linux/14.js
Level  1>http://sinomedical.cn/tj/51la.exe  ●

日志由 Redoce2.0第40次修正版于 2009-9-5 12:44:13 生成。

显示全部楼层 · 发表于 2009-9-5 13:59:15

小羽你真好骗
原始 - http://wushan.zzkjdz.com/wordkeys/2009-07-11/%e5%a4%9a%e7%8e%a9%20%e7%a5%96%e9%98%bf%e6%9b%bc.htm
扫描式跨站分析 - 原始 - http://www.sapag.com.cn:86/linux/yy.html
开始自动解析 - http://www.sapag.com.cn:86/linux/yy.html
L1 - http://www.sapag.com.cn:86/linux/nYnTd14.htm
L1 - http://www.sapag.com.cn:86/linux/yt.htm
L1 - http://www.sapag.com.cn:86/linux/nYnTdxxz.htm
L1 - http://www.sapag.com.cn:86/linux/yut.htm
L2 - http://www.sapag.com.cn:86/linux/14.js
L2 - http://www.sapag.com.cn:86/linux/15.js
L2 - http://www.sapag.com.cn:86/linux/16.js
L2 - http://www.sapag.com.cn:86/linux/a.jpg
L2 - http://www.sapag.com.cn:86/linux/b.jpg
L2 - http://www.sapag.com.cn:86/linux/url.jpg
自动解析 - Auto XOR - 高度可疑 - http://sinomedical.cn/tj/51la.exe
关注 - http://sinomedical.cn/tj/51la.exe

输出的对象 - http://sinomedical.cn/tj/51la.exe

此分析日志由 xxx 使用 Astox v1 Build 1100 在 2009年9月5日13时58分55秒生成。

[ 本帖最后由 Micropoint 于 2009-9-5 17:53 编辑 ]

[其它] 网址过于漫长.........内详 =。=

回复 3楼 Micropoint 的帖子

评分

回复 4楼 IllusionWing 的帖子

回复 6楼 Micropoint 的帖子

回复 7楼 IllusionWing 的帖子