我正在尝试逆向恶意 js 脚本以找出它的作用。剧本真的很长,但有一部分我不完全理解,希望你能帮忙。我只会展示脚本的一小部分以及相关部分来帮助解决这个问题,以避免任何人意外运行它。
以下行多次调用函数 UU:
ib[0] = O(Arw,UU(1017-980)+UU(19+81)+UU(32*3)+UU(51+25)+UU(4508/98+0)+UU(671-606)+UU(1677/43+0)+UU(631-522)+UU(5*23)+UU(7719/83-0)+UU(6+93)+UU(4*23));
函数 UU 具有以下设置:
function UU(s)
{
var Ea = ",!)Q ;Zrvz2^@HgS{I~1(O`ba'&l%$mqVCXG9#w0]d.-8W_34[kA5<n/RBDLsFN\\tpY6E7fy?oi|+\"xJ>ThUc=uKjeM:}*P";
var h=30090;
var yz=h+29060;
var mm=yz/650;
var PF=mm-60; 31
var i = Ea[L(s)](s-PF);
return i;
}
获取返回值“i”的部分操作调用了函数L:
function L(R)
{
return "\x63\x68\x61\x72A\x74";
}
问题:函数L返回什么?
我相信函数 L 试图混淆它的返回值以使分析变得更加困难。我不确定是否需要将其转换为 ASCII 或 Decimal 以便准确完成函数 UU 中的字符串查找
那些是转义字符。在 ASCII 表中查找值相当容易,但您也可以
console.logconsole.log("\x63\x68\x61\x72A\x74");其评估结果为
charAt基本上我在html js和python的帮助下编写代码,首先检查virustotal api中的文件md5,这将检查该文件是否被发现是恶意的,如果该文件是恶意的,那么这将阻止该文件完全下载我无法阻止文件完全下载请告诉我为什么我不能这样做