是被挂马还是管理员在调整网站？

显示全部楼层 · 发表于 2011-5-25 01:29:08

nkspark 发表于 2011-5-25 01:08
二次判定：
ff.htm - JS/CVE-2008-0015!exploit
fm01.css - Win32/Multidropper.SG

fm01.css，木马下载器Trojan-Downloader.Win32.Geral.cbo
http://www.micropoint.com.cn/New ... 20101112104311.html

显示全部楼层 · 发表于 2011-5-25 01:32:57

DearJohn 发表于 2011-5-25 01:26
回复 8楼 nkspark 的帖子

关于:hxxp://ads31.3322.org:8832/FM01/index.html解密的日志(全体输出 - 18):
...

Redoce2.1不错，多谢推荐了，一会儿下载个。

显示全部楼层 · 发表于 2011-5-25 01:36:15

回复 12楼 nkspark 的帖子

工具只能是工具，简单的挂马而已，只要有基础，不管redoce还是freshow、md……都能解

显示全部楼层 · 发表于 2011-5-25 01:47:13

DearJohn 发表于 2011-5-25 01:36
回复 12楼 nkspark 的帖子

工具只能是工具，简单的挂马而已，只要有基础，不管redoce还是freshow、md……都 ...

是这个道理，不过本首席手工分析比大家用工具的都要慢上半拍，很惭愧啊。

显示全部楼层 · 发表于 2011-5-25 01:52:50

本帖最后由 DearJohn 于 2011-5-25 01:54 编辑

回复 14楼 nkspark 的帖子

呃，佩服佩服，以身试险每一个页面源码脚本框架都要去查看不说。。。。
我有一点很好奇，虽然shellcode的密钥一眼就能看出，讨教如何用手和脑来解？

显示全部楼层 · 发表于 2011-5-25 01:58:06

DearJohn 发表于 2011-5-25 01:52
回复 14楼 nkspark 的帖子

呃，佩服佩服，以身试险每一个页面源码脚本框架都要去查看不说。。。。

google和百度。

显示全部楼层 · 发表于 2011-5-25 02:01:20

本帖最后由 DearJohn 于 2011-5-25 02:08 编辑

回复 16楼 nkspark 的帖子

shellcode用google和百度？
呃，好吧。。。吾等难以望其项背。。。

显示全部楼层 · 发表于 2011-5-26 01:10:38

今晚不是升级论坛吗？怎么还没升级呢，进来一看还是1.5

老大加油啊~！

[提问] 是被挂马还是管理员在调整网站？