如何解密一个JavaScript文件

Question

如何解密一个JavaScript文件

javascriptobfuscationvirusautorundeobfuscation

7

我刚发现了一种使用.js文件进行攻击的计算机病毒。我用记事本打开文件查看代码，但是它完全被加密了。我能看到一些有意义的数据（比如bhynivmao.length!=4），但大部分内容都是无意义的字符。

还有一个autorun.inf文件，尽管我可以看到一些shell \open\command，但是我无法弄清楚其余的乱码内容。

看起来autorun和.js文件都以相同的方式进行混淆。请问有人能帮我找回可读的代码吗？我真的很想知道这个东西是如何工作的。

- Flipsyde

2

这些黑客越来越聪明了。 - user1546328

1

尝试将 .js 文件发布到 Pastebin 并将链接提供给我们。 - alexandernst

分享这个JS文件，这样我们中的一些人就可以查看它。 - Arun

感谢您的回复。以下是 autorun.inf 文件的 pastebin 链接：http://pastebin.ca/2376210此外，这是由 autorun 调用的 gc2c9c.js 文件链接：http://pastebin.ca/2376212还有第三个文件（icece.js），我在计算机上找到的。其他两个文件是在 USB 硬盘中发现的。请查看一下。 - Flipsyde

2个回答

4

您也可以考虑使用http://jsnice.org，它使用代码的统计分析来识别变量名。它通过更改变量名称而不更改结构来很好地补充了http://jsbeautifier.org。

- Alexander Craggs

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- MMM · Accepted Answer

6

尝试使用JS格式化工具：

http://jsbeautifier.org/

虽然它不会改变原有的变量名称，但能使代码更易读。

- MMM

谢谢。我也会尝试使用JS美化器，看看会发生什么。 - Flipsyde

哇..现在看起来更易读了(虽然我还没搞清楚这段代码是干什么的)。看起来icece.js和gc2c9c.js包含相同的代码。这里是格式化后的代码的pastebin链接。 http://pastebin.ca/2376219 - Flipsyde