• 欢迎访问金刀客博客!
  • 2019,春节快乐!

一个关于利用IEms06014,PDF溢出和2个java方面漏洞网马的解密分析

原创天空 admin 3666次浏览 已收录 1个评论

今日,小博在加密解密区发了一个要求解密贴,http://www.daokers.net/read.php?tid=2395,点名要我帮忙解密。
于是看了下这个网马。
他的代码如下


194

对于这样的网马,一眼就可以看到,前面都是变量,重点咱们关注后面。
为了观看方便,咱们对这个代码进行一下整理。
看下我的整理图

我们来看看这个整理好后的部分代码

var XJU9Xi=[102,62,44];
var Jyyl=new Array();
for (var s10d8g4Wq=0;s10d8g4Wq

我们从RE4Ml这个数组看起,GXzob52的值是从RE4Ml这个数组中提取了4个数值来作为自己的值,数组中是从0,1,2...开始的,那么RE4Ml[3]就是“e“,RE4Ml[8]就为”v“,RE4Ml[16]为”a“,RE4Ml[24]为"l",可以看到GXzob52就是eval,另外UE9Dha9=this,那么S82iD2j6就是this[eval],那么他就是执行指令,咱们的突破口也就在这里。
继续往下看,可以看到后面是2个函数,在最后面,我们看到了S82iD2j6(m2qo55(Jyyl)),从前面的代码可知,Jyyl就是前面将所有的其他字符串联起来的最终值,m2qo55就是解密函数。咱们解密的机会来了。
为了方便复制,咱们用用textarea解决,
在的后面添加

表情 贴图 加粗 删除线 居中 斜体 签到
(1)个小伙伴在吐槽
  1. 描述我如何爱你2010-06-04 22:31 回复