今天我们练习的是PDF网马解密
下载PDF文件

1.先用RedoceA>PDF/CWS/Zlib Extractor解压PDF中的数据流;得到JS代码,如下:

2.在神器里运行,得到几个输出数据,逐个查看,得到shellcode

3.将代码复制进redoce,5>Unicode清除(%u,u)(参数/无参数),得到网马地址
http://googlenew.cn/mmm/exe.php

哟?不错哎 订阅小米的RSS Feeds 回去慢慢看^_^