这俩段代码是依据什么规则？狗扑真TM垃圾！

誓誓

1.
<!--
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\u8d44\u6e90\u63d0\u4f9b\x3a\x3c\x61 \x68\x72\x65\x66\x3d\"\x68\x74\x74\x70\x3a\/\/\x62\x62\x73\x2e\x67\x6f\x70\x65\x2e\x63\x6e\/\" \x74\x61\x72\x67\x65\x74\x3d\"\x5f\x62\x6c\x61\x6e\x6b\" \x73\x74\x79\x6c\x65\x3d\"\x63\x6f\x6c\x6f\x72\x3a\x23\x33\x33\x36\x36\x30\x30\x3b\" \x3e\x3c\x62\x3e\u72d7\u6251\u6e90\u7801\u793e\u533a\x3c\/\x62\x3e\x3c\/\x61\x3e");


2.
<script language=javascript>
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\v\\3\\b\\r\\s\\1\\9\\0"]["\\q\\5\\p\\0\\1\\4\\9"]("\\u\\f\\t\\m\\a\\8\\7 \\e\\5\\1\\n\\c\\"\\e\\0\\0\\g\\a\\/\\/\\2\\2\\d\\h\\i\\3\\g\\1\\h\\b\\9\\/\\" \\0\\7\\5\\i\\1\\0\\c\\"\\C\\2\\4\\7\\9\\D\\" \\d\\0\\E\\4\\1\\c\\"\\b\\3\\4\\3\\5\\a\\z\\k\\k\\l\\l\\j\\j\\A\\" \\6\\8\\2\\6\\y\\w\\f\\x\\F\\B\\8\\/\\2\\6\\8\\/\\7\\6");',42,42,'x74|x65|x62|x6f|x6c|x72|x3e|x61|x3c|x6e|x3a|x63|x3d|x73|x68|u6e90|x70|x2e|x67|x30|x33|x36|u4f9b|x66|window|x69|x77|x75|x6d|u63d0|u8d44|x64|u6251|u7801|u72d7|x23|x3b|u533a|x5f|x6b|x79|u793e'.split('|'),0,{}))
</script>


代码界有这种编码的吗？规则是什么？怎么转化的？


木马

16位制

zktz

1 忘了是不是叫unicode
2 packed压缩混淆，百度搜有解码工具

ybs885

那些源码站的源码其实就是发布木马的而已，几年前傻乎乎的玩。。。后来发现其实自己的基本源码来改更简单

aarwwefdds

挂马解混淆 当年我就是从这个了解了脚本的不少知识

中心思想是 无论怎么混淆 他最终都要变成解释器可读的代码并且执行

因此这种脚本最好解决方法是将计就计 在它把自身的加密段解密成明文后不执行而是print 自己把自己跑出来

第二个脚本很简单 把eval改成alert 然后在执行 你会发现可读的代码出来了
alert显示不全 很简单 document.write即可

第一个应该是第二个解混淆以后的结果 \xAB是转义后的 可以识别 只要反转义就行 其实你把\x去掉就是十六进制编码

aarwwefdds

最终输出结果：

1. 资源提供:<a  target="_blank" style="color:#336600;" ><b>狗扑源码社区</b></a>

复制代码

国外的挂马混淆比国内要复杂的多 因为执行函数【eval或者document.write】也是混淆然后切分开的 用到的时候解混淆然后合成使用 因此直接找不到可以直接替换执行函数的地方

然后对应的解决方案是有人开发了单独模拟执行脚本的JS解析引擎 并且HOOK住执行函数

道高一尺魔高一丈 为了对付这种解混淆方式 国外挂马将部分代码段放到网页HTML代码里去 然后用DOM读取 模拟执行脚本引擎无法解析DOM操作就报错了

因此某人开发了终极工具 在保证安全的前提下【这就要求下很多HOOK防止被溢出攻击】使用IE核心运行代码【就可以操作DOM了】 HOOK执行函数。目前基本上是通杀海内外

冰剑

这太弱智了吧

malbi

楼上全是高手啊！按就认识A  BC

誓誓

aarwwefdds 发表于 2013-5-2 03:21
最终输出结果：国外的挂马混淆比国内要复杂的多 因为执行函数【eval或者document.write】也是混淆然后切分 ...

高手啊说的好深奥，后来我找到说可以用谷歌浏览器查看这段脚本意思

誓誓

aarwwefdds 发表于 2013-5-2 03:21
最终输出结果：国外的挂马混淆比国内要复杂的多 因为执行函数【eval或者document.write】也是混淆然后切分 ...

话说这个终极工具是什么？

bnb345