梅罗 - 2010-3-9 21:21:00
看今天问的人比较多,本着互帮互助的原则哈,发个贴,首先是Redoce的PDF导入:
附件:
您所在的用户组无法下载或查看附件开始后:
附件:
您所在的用户组无法下载或查看附件导入文件 解压 获得源码 发送到主界面:
附件:
您所在的用户组无法下载或查看附件通过分析代码,我们知道有4个eval函数
附件:
您所在的用户组无法下载或查看附件接着用神器,也可以改alert另存为htm
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件这个是明显的shellcode哈~用freshow
附件:
您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 3.5.21022; MAXTHON 2.0)
梅罗 - 2010-3-9 21:24:00
这里要解释一下
var X =eval('a'+'b')的意思 其实就是
X=’a‘+'b'var MK6tH6 = eval('ev'+'a'+'l')
恩 这下知道为什么有4个eval了吧~
所以弹出的4个窗里有
string eval 还有个
U0FC1q.fromCharCode剩下一个好像是被那一串语句处理过后escape加密了~所以直接看不出来,神器还是强大的哈~
中文版神器在附件~其实有的同学下载的可能已经是汉化版了 要在setting里修改成中文哈
附件:
malzilla.part1.rar 附件:
malzilla.part2.rar
随缘92WJC - 2010-3-9 21:26:00
额···这个才知道···
随缘92WJC - 2010-3-9 21:26:00
梅罗,你是直接用RD改EVAL后运行的么?
我和暗夜一样,运行后只有3个无用的对话框弹出
小棉花ZY - 2010-3-9 21:28:00
梅罗真是好人哈,热心的好孩子。
jks_风 - 2010-3-9 21:30:00
恩,谢谢梅罗了,说实话,我对一直没用神器。
梅罗 - 2010-3-9 21:33:00
那个rd不行,今天我试过了,无名老师说。知道方法就可以了 软件不是万能的~
随缘92WJC - 2010-3-9 21:36:00
哦,原来如此···
我还以为WIN7受限呢
hqvip - 2010-3-9 22:12:00
替换变量为alert是可以弹的 谢谢梅罗兄的中文版:kaka12:
Luke8 - 2010-3-9 23:49:00
2个疑问:
1:4个eval是'ev' 'a ''l'和mK6tH6?
2:如果改ALERT,是把Mk和EVAL的都改成ALERT?
hqvip - 2010-3-10 9:56:00
根据代码的思路,只改掉最后的那个mK6tH6就行:kaka12:
梅罗 - 2010-3-10 11:39:00
原帖由 hqvip 于 2010-3-10 9:56:00 发表
根据代码的思路,只改掉最后的那个mK6tH6就行:kaka12:
正解哈~
hqvip - 2010-3-10 11:53:00
:kaka12: 握爪~
Luke8 - 2010-3-11 17:33:00
:kaka6: 怪不得- -。。。了解了
DragonKid - 2010-3-11 19:37:00
看到这里我才彻底明白了这个解密
谢谢梅罗啊~~:kaka12:
辛达星郁 - 2010-3-11 20:00:00
这里要解释一下 var X =eval('a'+'b')的意思 其实就是X=’a‘+'b'
var MK6tH6 = eval('ev'+'a'+'l')
这里我还是不怎么理解
怎么是4个的
梅罗 - 2010-3-11 20:08:00
按照那个函数的意思意思就是MK6TH6就是eval啊~然后后面有个MK6TH6(OLY2O);
实际上就是eval(oLY2o)对吧~
© 2000 - 2026 Rising Corp. Ltd.