jks_风 - 2010-8-9 23:05:00
今天辛达MM也问其这个网马如何解密,前两天09kaka同学MS也有疑问,这里我就写一下解密方法。
主要是这个地方:hXXp://bbs.game.mop.com/include/javascript/ajax.js
关键位置:发现有eval,然后立刻想到networkdition老师经常提起的alert替换的方法。把蓝色标记出来的地方复制到记事本上,命名为1.html,然后进行处理。
处理后的代码为:
注意:添加代码的时候记得把后面的两个类“}}”符号去掉,分析上面的代码可以得知是两个IF语句的判断,语句是以分号结束,后面多出两个字符,浏览器就无法解释了,导致无法弹出。
获取的地址:hXXp://www.fm5.cn/ucenter/api/js.js
使用同样的方法继续解密:
然后就明显了
:kaka6: 一直都没失效。刚才在网吧一台没打补丁的机器上测试,貌似是个下载者。
hxxp://www.fm5.cn/ucenter/api/game.exe
我以为就我以前知识没打好,看来很多同学都没打好,大家也要注意基础知识,还有就是认真。:kaka14:
networkdition老师原帖地址:http://bbs.ikaka.com/showtopic-8744344.aspx
-m老师详细分析referrer:http://bbs.ikaka.com/showtopic-8744351.aspx
百度参考链接:http://zhidao.baidu.com/question/72543450.html?fr=ala0
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
主要是这个地方:hXXp://bbs.game.mop.com/include/javascript/ajax.js
关键位置:发现有eval,然后立刻想到networkdition老师经常提起的alert替换的方法。把蓝色标记出来的地方复制到记事本上,命名为1.html,然后进行处理。
处理后的代码为:
注意:添加代码的时候记得把后面的两个类“}}”符号去掉,分析上面的代码可以得知是两个IF语句的判断,语句是以分号结束,后面多出两个字符,浏览器就无法解释了,导致无法弹出。
获取的地址:hXXp://www.fm5.cn/ucenter/api/js.js
使用同样的方法继续解密:
然后就明显了
:kaka6: 一直都没失效。刚才在网吧一台没打补丁的机器上测试,貌似是个下载者。
hxxp://www.fm5.cn/ucenter/api/game.exe
我以为就我以前知识没打好,看来很多同学都没打好,大家也要注意基础知识,还有就是认真。:kaka14:
networkdition老师原帖地址:http://bbs.ikaka.com/showtopic-8744344.aspx
-m老师详细分析referrer:http://bbs.ikaka.com/showtopic-8744351.aspx
百度参考链接:http://zhidao.baidu.com/question/72543450.html?fr=ala0
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)