这俩段代码是依据什么规则？狗扑真TM垃圾！

誓誓

本帖最后由 誓誓 于 2013-5-2 00:38 编辑

1.
[ol]

资源提供:狗扑源码社区[/ol]复制代码国外的挂马混淆比国内要复杂的多 因为执行函数【eval或者document.write】也是混淆然后切分开的 用到的时候解混淆然后合成使用 因此直接找不到可以直接替换执行函数的地方

然后对应的解决方案是有人开发了单独模拟执行脚本的JS解析引擎 并且HOOK住执行函数

道高一尺魔高一丈 为了对付这种解混淆方式 国外挂马将部分代码段放到网页HTML代码里去 然后用DOM读取 模拟执行脚本引擎无法解析DOM操作就报错了

因此某人开发了终极工具 在保证安全的前提下【这就要求下很多HOOK防止被溢出攻击】使用IE核心运行代码【就可以操作DOM了】 HOOK执行函数。目前基本上是通杀海内外

zktz

这太弱智了吧

ybs885

楼上全是高手啊！按就认识A  BC

aarwwefdds

aarwwefdds 发表于 2013-5-2 03:21



最终输出结果：国外的挂马混淆比国内要复杂的多 因为执行函数【eval或者document.write】也是混淆然后切分 ...
高手啊说的好深奥，后来我找到说可以用谷歌浏览器查看这段脚本意思

aarwwefdds

aarwwefdds 发表于 2013-5-2 03:21



最终输出结果：国外的挂马混淆比国内要复杂的多 因为执行函数【eval或者document.write】也是混淆然后切分 ...
话说这个终极工具是什么？

冰剑

无节操

malbi

誓誓

誓誓 发表于 2013-5-2 09:10



高手啊说的好深奥，后来我找到说可以用谷歌浏览器查看这段脚本意思
F12也是一种方法。。但是会让代码跑起来 虽然可以用沙盘虚拟机之类的。。

那个玩意是 算是同事吧开发的 刚才搜索了下他放谷歌了
https://code.google.com/p/pmswalker/