好久没发贴了,来水一贴吧。
看到上面混淆的代码,就知道这不是什么好东西,根据上面的g(k)函数,基本上就可以断定这是一个downloader,还是进行验证一下,双击js让他跑起来,火绒剑监控
已经可以认定这个js就是一个downloader了,不过我们的目标不是判断它是不是病毒,而是要还原代码。
对于这种混淆,想要知道它最原始的代码,最好的方法就是动态调试。
写一个最简单的html进行加载js代码,将上面的js代码复制到文件中改名为1.js
双击html文件,我的默认是谷歌浏览器打开,F12,sources进入调试
出现错误,ActiveXObject是微软提供的,只知道IE支持,其他的浏览器就没有深究了,转战IE浏览器。
ActiveXObject要想不被IE阻拦,还需要对其进行安全设置,这里不再多说。
用IE打开html文件,还是F12,呼出开发人员工具,选择脚本,下拉框选择1.js,就可以看到js代码,在这里可以随意设置断点
找到js开始的部分,打上断点,启动调试,可以发现js代码已经断了下来。
其中几个混淆比较厉害的字符串通过动态调试获得最后的值
获取到的路径
Automation 服务器不能创建对象
在调试的过程中,遇到了Automation 服务器不能创建对象的问题,也不太懂啊,就百度吧,找了以下几个解决方法:
通过上面的方法,在最开始的虚拟机没作用,不过换了个虚拟机就解决了这个问题。
下载下来的是样本是勒索,有兴趣的可以分析一下。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2019-7-2 17:54
被Iam0x17编辑
,原因: