怎样破解这个病毒的加密的？

feixinglake

http://bbs.kafan.cn/thread-567784-1-1.html   样本用记事本打开后是乱码 看到有人破解出代码了  说破解方法是字符串翻转    我想问问 具体怎样操作的？

feixinglake

还有 字符串打乱后系统是怎样识别出文件里的代码的？

Beloved

原帖由 feixinglake 于 2009-10-4 22:26 发表
还有 字符串打乱后系统是怎样识别出文件里的代码的？

莫名其妙、、、、、、、、、

系统啥也不识别，只是照样输出、、、、、

至于加密，可以去 网马安全版块，了解下加密、、、、、、

还有网马解密 里面的那几种解密、、、、、、

feixinglake

原帖由 Beloved 于 2009-10-4 22:33 发表


莫名其妙、、、、、、、、、

系统啥也不识别，只是照样输出、、、、、

至于加密，可以去 网马安全版块，了解下加密、、、、、、

还有网马解密 里面的那几种解密、、、、、、

我不懂  只是问问而已  何必这么说呢？ 你的话不会好好说吗  什么叫莫名其妙？？

snyzaa

先把脚本写好，再设计一种加密算法，比如这个文件的乱序。
然后写出出对应的解密function，这个function可以把文件中的乱码还原成可读的脚本代码（得到字符串）。
然后使用execute函数。这个函数可以将字符串作为脚本代码执行。



解密的时候把这个函数的内容分离出来就可以了
另外比较常见的就是用ASCII码+逗号，还有JS好像直接支持用ASCII码写

Beloved

原帖由 feixinglake 于 2009-10-4 22:39 发表
我不懂  只是问问而已  何必这么说呢？ 你的话不会好好说吗  什么叫莫名其妙？？

你那个问的莫名其妙
统是怎样识别出文件里的代码的？
系统啥也不识别，只是照样输出，乱码就输出乱码而已、、、、、、、

olly

解密代码

1. execute("set d68c = createobject(""scripting.filesystemobject""):set ae7a=d68c.opentextfile(wscript.scriptfullname,1):do until ae7a.atendofstream:cc6b=trim(ae7a.readline):if left(cc6b,1)=""'"" then:f74f=f8e4(mid(cc6b,2,len(cc6b)-2),right(cc6b,1)):randomize:b2c9=int(8*rnd+2):fb94=""'""&f8e4(f74f,b2c9)&b2c9:else:fb94=cc6b:fb94=d361(fb94):fb94=dd72(fb94):end if:fbbe=fbbe&f74f&vbcrlf:c6eb=c6eb&fb94&vbcrlf:f74f="""":fb94="""":loop:set ae7a=d68c.opentextfile(wscript.scriptfullname,2):ae7a.write c6eb:ae7a.close:set d68c=nothing:execute fbbe:function f8e4(e683,b2c9):for d70f=1 to len(e683) step b2c9:f8e4=f8e4+strreverse(mid(e683,d70f,b2c9)):next:end function:function dd72(e683):randomize:for d70f=1 to len(e683):aa34=mid(ucase(e683),d70f,1):if int(rnd*2) then:aa34=lcase(aa34):end if:dd72=dd72&aa34:next:end function:function d361(e683):randomize:for d70f=0 to 13:e683=replace(ucase(e683),ucase(hex(&hd68c+d70f)),ucase(hex(int(rnd*24000+40960)+d70f))):next:d361=e683:end function")

复制代码

你用个带语法着色功能的编辑器一眼就看出来了，比如SciTE，Notepad++....^ ^

[ 本帖最后由 olly 于 2009-10-5 20:11 编辑 ]

humy123456

这个病毒是用什么语言编的？

qkhge7

先关注下

[ 本帖最后由 qkhge7 于 2009-10-6 12:21 编辑 ]

mr_nie

看看，顺道能学习下不。