Форум Сайтостроение Безопасность

Деобфускация JS-кода или алгоритм разбора

TF-Studio
На сайте с 17.08.2010
Offline
334
TF-Studio
1875

Пара вопросов имеется.

1. Есть ли какой-то инструмент или алгоритм для получения из обфусцированого кода чего-то более внятного?

゚ω゚ノ= /`m´)ノ ~┻━┻ //*´∇`*/ ['_']; o=(゚ー゚) =_=3; c=(゚Θ゚) =(゚ー゚)-(゚ー゚); (゚Д゚) =(゚Θ゚)= (o^_^o)/ (o^_^o);(゚Д゚)={゚Θ゚: '_' ,゚ω゚ノ : ((゚ω゚ノ==3) +'_') [゚Θ゚] ,゚ー゚ノ :(゚ω゚ノ+ '_')[o^_^o -(゚Θ゚)] ,゚Д゚ノ:((゚ー゚==3) +'_')[゚ー゚] }; (゚Д゚) [゚Θ゚] =((゚ω゚ノ==3) +'_') [c^_^o];(゚Д゚) ['c'] = ((゚Д゚)+'_') [ (゚ー゚)+(゚ー゚)-(゚Θ゚) ];(゚Д゚) ['o'] = ((゚Д゚)+'_') [゚Θ゚];(゚o゚)=(゚Д゚) ['c']+(゚Д゚) ['o']+(゚ω゚ノ +'_')[゚Θ゚]+ ((゚ω゚ノ==3) +'_') [゚ー゚] + ((゚Д゚) +'_') [(゚ー゚)+(゚ー゚)]+ ((゚ー゚==3) +'_') [゚Θ゚]+((゚ー゚==3) +'_') [(゚ー゚) - (゚Θ゚)]+(゚Д゚) ['c']+((゚Д゚)+'_') [(゚ー゚)+(゚ー゚)]+ (゚Д゚) ['o']+((゚ー゚==3) +'_') [゚Θ゚];(゚Д゚) ['_'] =(o^_^o) [゚o゚] [゚o゚];(゚ε゚)=((゚ー゚==3) +'_') [゚Θ゚]+ (゚Д゚) .゚Д゚ノ+((゚Д゚)+'_') [(゚ー゚) + (゚ー゚)]+((゚ー゚==3) +'_') [o^_^o -゚Θ゚]+((゚ー゚==3) +'_') [゚Θ゚]+ (゚ω゚ノ +'_') [゚Θ゚]; (゚ー゚)+=(゚Θ゚); (゚Д゚)[゚ε゚]='\\'; (゚Д゚).゚Θ゚ノ=(゚Д゚+ ゚ー゚)[o^_^o -(゚Θ゚)];(o゚ー゚o)=(゚ω゚ノ +'_')[c^_^o];(゚Д゚) [゚o゚]='\"';(゚Д゚) ['_'] ( (゚Д゚) ['_'] (゚ε゚+(゚Д゚)[゚o゚]+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((゚ー゚) + (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚ー゚)+ ((゚ー゚) + (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) +(o^_^o))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚ー゚)+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (o^_^o)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ ((゚ー゚) + (゚Θ゚))+ (゚Д゚)[゚ε゚]+(゚ー゚)+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (c^_^o)+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (゚Θ゚)+ ((o^_^o) +(o^_^o))+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ (゚ー゚)+ (゚Д゚)[゚ε゚]+(゚ー゚)+ (c^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ ((o^_^o) - (゚Θ゚))+ (o^_^o)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (c^_^o)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+(゚Θ゚)+ (o^_^o)+ (゚Θ゚)+ (゚Д゚)[゚ε゚]+((゚ー゚) + (o^_^o))+ ((゚ー゚) + (o^_^o))+ (゚Д゚)[゚ε゚]+(゚ー゚)+ ((o^_^o) - (゚Θ゚))+ (゚Д゚)[゚ε゚]+((゚ー゚) + (゚Θ゚))+ (゚Θ゚)+ (゚Д゚)[゚o゚]) (゚Θ゚)) ('_');

Вот что-то типо такого, привести в порядок.

Зачем?

Потому что большинство веб-вирусов имеют стандартные последовательности.

К примеру недавнее бурное обсуждение:

createElement('iframe')

document.cookie

document.cookie.indexOf

Просто хочется не только поиск по сигнатурам, но и анализ совпадений. (для последующего более оперативного составления сингатур)

При указанном выше - вероятность что вирус +-80%

2. Есть какие-то (лучше русскоговорящие) ресурсы, где обсуждают активно веб-безопасность?

3. Обсудить такой алгоритм поиска вирусов.

Каждая команда имеет индекс.

createElement('iframe') = +3%
проверка на мобильное устройство = +4%
странная длинная последовательность из цифр-букв = +20%

(цифры даны для примера)

Далее если переданный код набирает высокий бал - он обрабатывается ручками (или другими автоматизированными инструментами(обсуждаемо) ).

Если устанавливается что вирус - то идет поиск возможной последовательности или поиск сигнатур, с последующим выкладываем.

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).
beginerx
На сайте с 13.07.2009
Offline
173
beginerx
#1

и что я теперь не могу document.cookie или ифрей использовать, какой-то ГС антиврус начнет мне балы начислять и банить? Какой-то бред и без вас достаточно проблем с ложными детектами на элементарный ява скрипт от яндекс и гугла сэйф бровзинга! В принципе идея бредовая! По стандарту НЕ может быть вирусов на ява-скрипт! Ну никак не может! Там же виртуальая машина интерпретирующая ява-скрипт и песочница и без доступа к ф-я ос напрямую.

Все вирусы используют дыры и ошибки в текущей версии кода браузера - вот с ними и боритесь! С дырами! А не со стандартными ява-скрипт возможностями типа ифрэйм.

>>>Скорость и Реакция<<< (https://vk.com/app4629907 ): онлайн тренировка скорости и времени реакции.... (https://vk.com/app4612117 )... (https://vk.com/club18740762 ).
TF-Studio
На сайте с 17.08.2010
Offline
334
TF-Studio
#2
ошибки в текущей версии кода браузера - вот с ними и боритесь

сомнительная идея.

С дырами я не могу бороться, я лишь помогаю людям защищать свои сайты.

Эти данные будут для другого использованы. (для вебмастеров)

Про ложные срабатывания - в курсе, как бы.

Давайте будем более аргументированно и конструктивно вести диалог.

Поиск по совпадениям - всего лишь для поиска сигнатур.

Далее:

Яндекс сообщает что сайт заражен, но сразу понять где именно вирус, среднестатистическому вебмастер не представляется возможным.

А вот если сразу указать участок кода которые и представляет угрозы - это было бы удобно.

К тому же редирект на фишинг - не является косяком в браузере. (к примеру)

Более глобально стоит смотреть.

beginerx
На сайте с 13.07.2009
Offline
173
beginerx
#3

никто вебмастера сомнительный код у самого себя на сайте ставить не заставляет, значит его хостинг или персональный комп взломали и вирусировали и никакого смыла возится с ява скриптами нет - тупиковый путь. В силу наличия в ява-скрипте в терминах си-шарпа рефлексии там бесконечные возможности для шифрации в том числе и на лету, тут вы заведомо проиграете! У вас уже трудности с дещифрацией паблика от студента, а с приватными, "на лету" полиморфными, решениями будет 100% облом, там все намного круче чем тот фрагмент 15 летней давности публичного криптора что в начале топика. Ну и набирает популярность так называемый накл от великого и могучего гугла, там вообще полный абзац дешифровщикам, но песочница, так что лучше забейте и займитесь реальными вирусами и дырами в ОС, хостингах и тд.

TF-Studio
На сайте с 17.08.2010
Offline
334
TF-Studio
#4

Не спор, своя истину тут тоже есть.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий