今天上卡卡社区发现里面发了个网马解密的链接,呵呵 顺便试试看能解出来不.呵呵. 
         相信各位已经对网马有点了解了吧.一般网马都是加密了的.关于什么是网马以及怎么防止网马也不是本文的重点.本文是实战shellcode网马解密.以后的博文会放出常见的网马及其解密.以及常见的解密工具的介绍.
由于网马地址失效很快,所以本文附件会附上网马的源码.
现复制源码上去.
工具是freshow.
一.输入网马地址:
11
通过判断这个是shellcode加密了的网马.
判断其依据是根据其特征:以相同分隔符分隔(一般为%u)的4位一组的16进制字符串.
解密方法:1.对于直接使用%u分隔的直接用两次ESC 右的decode即可.
                   2.对于用shellcode加密的网马,将代码替换为 分隔符%u.再两次decode解密即可.
一下的实例是用%u代替Game
1
 

二.替换之后点UP 换上去
再点击DECODE进行第一次解密
attachimg.gif
22
三.再次点击UP按钮翻上去

再次点击DECODE 进行第二次解密.解密即可看到网马的地址
attachimg.gif

33

解密成功!