Verifying-Password:综上所述,咱们现在取得的信息包含:代码审计概述IDA, see _strstr “flag”: 咱们发现,EK代码中包括有多个行为层,在图片7中显现的运用ActiveXObject进行初始化的状况。
在实例中,变量“zmomfokopbpbbi”包括有一个很长的随机字符串(第二行)。
歹意JavaScript脚本会测验诈骗阅读器,以逃避阅读器的检测,而歹意软件检测东西一般都会供给有用的ActiveXObject。
换而言之,真实的IE阅读器将会抛出一个try句子的错误信息,但检测程序却不会。
考虑到变量“qvqymkykvfzpl”的值在第九行代码之前为1,而在真实的IE阅读器之中,变量“zkvluyycbrtp”的值为0,并且其他的阅读器并不支撑ActiveXObject,关于特定的阅读器模仿程序而言,它的值会一向坚持为1。
持续往下查看这段歹意代码(图片8),咱们可以看到有许多的函数都会运用到变量“zkvluyycbrtp”的值,而这些函数的返回值就取决于这个变量的值。
这就决议了终究歹意脚本是否会对方针体系进行进犯。
这是进犯者会用到的其间一种躲藏机制,并经过这种 *** 来逃避反病毒厂商的检测。
12
4、咱们仿制“%u”那一串字符到Malzilla中的“Misc Decoders”栏,点击“UCS2 To Hex”先转化成16进制,然后再将这段16进制字符以“Paste as Hex”的方式张贴到顶部右边的“Hex”栏中,这样就得出了下载地址。