Clever Geek Handbook

mediafire.comをホストするファイルの例でJavascriptを解読します

現在、ネストされたevalコマンドを使用してサイトのJavaScriptを暗号化する方法が人気を集めています。 最近、mediafire.comをホストしているファイルでこのような暗号化に出会いました。 暗号化は異常であり、興味があり、この方法がうまく機能することを理解することにしました。



Mediafire.comサイトでは、キャプチャなしでファイルをダウンロードできますが、同時に、最近では、あらゆる種類の自動ロボットから非常にうまく保護されています。 彼は、組み込みのJavaScriptコードジェネレーターを使用してこれを行います。 さらに、新しいコードが作成されるたびに、自動手段でコードをエミュレートすることが難しくなります。



この記事では、暗号化されたコードを詳細に分析することなくこのような保護を簡単に回避し、mediafire.comから自動ファイルアップロードスクリプトを作成する方法について説明します。



最初に、このコードがどのように見えるかを示します。

Copy Source | Copy HTML var h5u= '' ; var ybb=unescape( 'rev%24l%7Djg9%23%23%3Frev%24swhsp4l9qjawgeta%2C%23%213Bl%213F%216%3Da4c0%2A%2A6%213Bl%<<< >>>Z%3D--%3Fareh%2Cl%7Djg-%3F' ); for (i=0;i<1324;i++)h5u=h5u+(String.fromCharCode(ybb.charCodeAt(i)^4)); eval(h5u);



  1. Copy Source | Copy HTML var h5u= '' ; var ybb=unescape( 'rev%24l%7Djg9%23%23%3Frev%24swhsp4l9qjawgeta%2C%23%213Bl%213F%216%3Da4c0%2A%2A6%213Bl%<<< >>>Z%3D--%3Fareh%2Cl%7Djg-%3F' ); for (i=0;i<1324;i++)h5u=h5u+(String.fromCharCode(ybb.charCodeAt(i)^4)); eval(h5u);



  2. Copy Source | Copy HTML var h5u= '' ; var ybb=unescape( 'rev%24l%7Djg9%23%23%3Frev%24swhsp4l9qjawgeta%2C%23%213Bl%213F%216%3Da4c0%2A%2A6%213Bl%<<< >>>Z%3D--%3Fareh%2Cl%7Djg-%3F' ); for (i=0;i<1324;i++)h5u=h5u+(String.fromCharCode(ybb.charCodeAt(i)^4)); eval(h5u);



  3. Copy Source | Copy HTML var h5u= '' ; var ybb=unescape( 'rev%24l%7Djg9%23%23%3Frev%24swhsp4l9qjawgeta%2C%23%213Bl%213F%216%3Da4c0%2A%2A6%213Bl%<<< >>>Z%3D--%3Fareh%2Cl%7Djg-%3F' ); for (i=0;i<1324;i++)h5u=h5u+(String.fromCharCode(ybb.charCodeAt(i)^4)); eval(h5u);



  4. Copy Source | Copy HTML var h5u= '' ; var ybb=unescape( 'rev%24l%7Djg9%23%23%3Frev%24swhsp4l9qjawgeta%2C%23%213Bl%213F%216%3Da4c0%2A%2A6%213Bl%<<< >>>Z%3D--%3Fareh%2Cl%7Djg-%3F' ); for (i=0;i<1324;i++)h5u=h5u+(String.fromCharCode(ybb.charCodeAt(i)^4)); eval(h5u);





例からわかるように、コードは暗号化されています。 また、ページにアクセスするたびに、コードが変更されます。暗号化コード(XOR)の変更、evalのネストの変更、変数および関数の名前の変更。



このコードは、N個の関数(htmlで生成)の1つを呼び出します。この関数には、画面上のN個のブロック(htmlでも生成)の1つが含まれ、画面に表示されます。 次に、追加のスクリプト(これも暗号化されています)が読み込まれます。このスクリプトは、すべてのブロックへのファイルダウンロードへの擬似修正パスへのリンクを書き込み、これらのブロックの1つのみに正しいパスを書き込みます。



そのため、このようなファイルを自動的にダウンロードする問題を解決する必要があります

システム。



アクションプランを作成します。



1.メインページをダウンロードし、解読して、N個の関数のどれが呼び出され、どのN個のブロックに含まれているかを判断します(キーを見つけます)。

2.キーによるリンクを含むファイルをダウンロードし、N個のリンクのうちどれが実際のものであるかを解読して決定します(キーによって決定)

3.ファイルをダウンロードする



正直なところ、コードは絶えず変化しているため、コードと暗号化方法をすぐに解析するという考えを捨てました。 したがって、別の方法、つまりいくつかのブラウザー機能をエミュレートすることに注意を促します。



この問題は、即興的な手段spidermonkeyを使用して解決します。



システムにspidermonkeyをインストールします(私のFreeBSDの例):



cd /usr/ports/lang/spidermonkey

make install clean







私が遭遇した最大の問題は、実行可能コードがリンクを保存する場所と、それが呼び出す関数を正確に事前に知らないことです。 コード自体を解析しないために、ある種のgetElementById()関数を作成しました。この関数は、特定のHTML要素に値をロードするために使用されます。 私はこのようにしました:

Copy Source | Copy HTML



  1. var element = new Object ();
  2. element.innerHTML = "" ;
  3. var parent = new Object ();
  4. parent.document = new Object ();
  5. parent.document.getElementById = functiontheGetElementByID( x ){
  6. print( "HTML:" + element.innerHTML );
  7. print( "\ n" );
  8. print( "ELEMENT:" + x + ":" );
  9. 戻り要素。
  10. };
  12. //ここにコードを挿入
  14. print( "HTML:" + element.innerHTML );


変更されていないコード自体がこのラッパー内に挿入され、実行されます。 コードがgetElementById()関数を呼び出す場合、コードはinnerHTMLに保存されているすべてを表示します。



したがって、コードを変更せずに、スクリプトが保存する内容と場所を決定することが可能になります。



結論として、mediafire.comからファイルをダウンロードする実際の例をよく理解することをお勧めします。

Copy Source | Copy HTML



  1. / * <br/> *著作権(C)AIG <br/> * gmail.comでのaignospam <br/> * <br/> *ソースおよびバイナリ形式での再配布および使用、 <br/>の有無にかかわらず *変更以下の条件 が満たさ れている場合は許可され ます。 <br/> * 1.ソースコードの再配布には、上記の著作権 <br/> *通知、この条件のリスト、および以下の免責事項を 保持する必要があり ます。 <br/> * 2.バイナリ形式での再配布は、上記の著作権 <br/> *通知、この条件リスト、および以下の免責事項を <br/> *文書および/または配布で提供されるその他の資料に 複製する必要があり ます。 <br/> * <br/> *このソフトウェアは、「現状有姿」の著者および 寄稿者によって提供され、 <br/> * <br/>を含むがこれに限定され ない、明示または 黙示の保証特定の目的に対する商品性および適合性の保証 <br/> *否認されます。 いかなる場合も著者または貢献者は責任を負い ません <br/> *直接的、間接的、偶発的、特別、模範的 、または結果的 <br/> *損害賠償(代替品の調達を含むが、これらに限定されない <br/> *またはサービス、使用、データ、または利益の損失、またはビジネスの中断) <br/> *契約、厳格 、または責任を 問わず、責任の理論および理由にかかわらず、 責任または不法行為(過失またはその他を含む) )何らかの方法で発生する <br/> *このソフトウェアの使用から、たとえ <br/> *の 損害の可能性について知らされていても <br/> * /
  3. 関数 jsDecode( $ code
  4. {
  5. $ fh = fopen( './code.js''w' );
  6. fwrite( $ fh'var element = new Object(); element.innerHTML = "";' );
  7. fwrite( $ fh'var parent = new Object(); parent.document = new Object();' );
  8. fwrite( $ fh'parent.document.getElementById = function theGetElementByID(x){print( "HTML:" + element.innerHTML); print( "\ n"); print( "ELEMENT:" + x + ":" ); return element;}; ' );
  9. fwrite( $ fh$ code );
  10. fwrite( $ fh'print( "HTML:" + element.innerHTML);' );
  11. fclose( $ fh );
  12. return `js ./code.js 2 >&1`;
  13. }
  15. 関数 downloadMediafire( $ url
  16. {
  17. $ cookie_file = './cookie.mediafire.txt' ;
  18. @unlink( $ cookie_file );
  20. $ user_agent = "Mozilla / 4.0(互換性あり; MSIE 5.01; Windows NT 5.0)" ;
  22. $ ch = curl_init( $ url );
  23. curl_setopt( $ ch 、CURLOPT_RETURNTRANSFER、 1 );
  24. curl_setopt( $ ch 、CURLOPT_USERAGENT、 $ user_agent );
  25. curl_setopt( $ ch 、CURLOPT_FOLLOWLOCATION、 1 );
  26. curl_setopt( $ ch 、CURLOPT_COOKIEJAR、 $ cookie_file );
  27. curl_setopt( $ ch 、CURLOPT_COOKIEFILE、 $ cookie_file );
  28. $ result_parent = curl_exec( $ ch );
  30. $ referer = $ url ;
  32. //すべての関数を検索します
  33. if (!preg_match_all( "/ function \ s +([a-z0-9] +)\(qk \、pk \、r \)/"$ result_parent$ match_function_names )){
  34. print "生成された関数が見つかりません\ n" ;
  35. print $ result_parent ;
  36. falseを返します
  37. }
  39. $ code_header = '' ;
  40. foreach$ match_function_names [ 1 ] as $ function_name ){
  41. $ code_header 。= '関数' ;
  42. $ code_header 。= $ function_name ;
  43. $ code_header 。= '( qk 、pk、r)' ;
  44. $ code_header 。= '{print( "KEY:" + qk + ":" + pk + ":" + r + ":" + "'$ function_name'" + ":");};'; ;
  45. }
  47. if (!preg_match( '/Eo\(\);(.*?eval.*?)if/'、$ result_parent$ match_code )){
  48. print "キーコードが見つかりません\ n" ;
  49. print $ result_parent ;
  50. falseを返します
  51. }
  53. // eval関数をデコードします...
  54. $ code = jsDecode( $ code_header$ match_code [ 1 ]);
  56. if (!preg_match( '/KEY:(.*?):(.*?):(.*?):(.*?):/'、$ code$ match_key )){
  57. $コードを 印刷し ます
  58. falseを返します
  59. }
  61. $ qk = $ match_key [ 1 ];
  62. $ pk = $ match_key [ 2 ];
  63. $ r = $ match_key [ 3 ];
  65. $ valid_function_name = $ match_key [ 4 ];
  67. //可視要素を検索...
  68. if (!preg_match( '/ function'$ valid_function_name'\(。*?document.getElementById \(\'(。{32})\ '\)/'$ result_parent$ match_id )){
  69. print $ result_parent ;
  70. falseを返します
  71. }
  73. $ element_id = $ match_id [ 1 ];
  75. $ url = 'http://www.mediafire.com/dynamic/download.php?qk=' $ qk'&pk ='$ pk'&r ='$ r ;
  77. print "URL = $ url \ n" ;
  79. curl_setopt( $ ch 、CURLOPT_URL、 $ url );
  80. curl_setopt( $ ch 、CURLOPT_REFERER、 $ referer );
  81. $ result_fetch = curl_exec( $ ch );
  82. curl_close( $ ch );
  84. if (!preg_match( '/(var\s+et\s*=\s*15.*?)function/'、$ result_fetch$ match_header )){
  85. print "リンクヘッダーが見つかりません\ n" ;
  86. print $ result_fetch ;
  87. falseを返します
  88. }
  90. $ code_header = $ match_header [ 1 ];
  92. if (!preg_match( '/case\s+15:(.*?)break;/'、$ result_fetch$ match_code )){
  93. print "リンクコードが見つかりません\ n" ;
  94. print $ result_fetch ;
  95. falseを返します
  96. }
  98. // eval関数をデコードします...
  99. $ code = jsDecode( $ code_header$ match_code [ 1 ]);
  101. if (!preg_match( ' /'。$ element_id'。*?href = "http:\ / \ /([^"] +) "/'$ code$ match_url )){
  102. print "要素urlが見つかりません\ n" ;
  103. $コードを 印刷し ます
  104. falseを返します
  105. }
  107. $ file_url = $ match_url [ 1 ];
  109. print "URL = $ file_url \ n" ;
  111. $ file = basename( $ file_url );
  112. $ url = "http:// $ file_url" ;
  114. if (file_exists( $ file )){
  115. trueを返します
  116. }
  118. $ fp = fopen( $ file'w' );
  120. $ ch = curl_init( $ url );
  121. curl_setopt( $ ch 、CURLOPT_RETURNTRANSFER、 1 );
  122. curl_setopt( $ ch 、CURLOPT_USERAGENT、 $ user_agent );
  123. curl_setopt( $ ch 、CURLOPT_FOLLOWLOCATION、 1 );
  124. curl_setopt( $ ch 、CURLOPT_COOKIEJAR、 $ cookie_file );
  125. curl_setopt( $ ch 、CURLOPT_COOKIEFILE、 $ cookie_file );
  126. curl_setopt( $ ch 、CURLOPT_REFERER、 $ referer );
  127. curl_setopt( $ ch 、CURLOPT_FILE、 $ fp );
  128. $ result = curl_exec( $ ch );
  129. $ info = curl_getinfo( $ ch );
  130. curl_close( $ ch );
  132. fclose( $ fp );
  134. if$ info [ 'http_code' ]!= 200 ){
  135. print_r( $ info );
  136. falseを返します
  137. }
  139. trueを返します
  140. }


More articles:


All Articles