Как провести реверс-инжиниринг криптованного вируса, написанного на jscript (WSH)? Прикрепил код вируса (скачать код) к посту в pdf файле, дабы скачавший его, случайно не запустил. Вирус опасен, и может здорово навредить. Для особо любопытных: вирус шифрует все файлы, а на рабочем столе появляется адрес почты для связи с (сами знаете с кем и для чего).
Как я понял, скрипт не хранит вредоносные команды в самом себе. Есть функции, которые возвращают отдельные символы, из которых складываются строки. Затем они выполняются функцией eval(). Сделано так, для того чтобы антивирус не сработал.Пример:function IM()
{
var XBt=38774;
return "S";
}
function W(svu)
{
var OF=30586;
var wg=OF+24239;
var kdy=wg/255;
var mi=kdy-214;
var bHh = eval(Nx() + (svu+mi) + uSk());
return bHh;
}
Хочу отрефакторить этот код к нормальному виду, чтобы понять что он делает, как работает, и какой алгоритм используется для шифрования. У меня было 2 варианта:
1) вручную переписать, вместо функций писать сразу символы которые они возвращают, удалить лишнее(да, там есть переменные, которые тупо объявляются, и не используются)
2)отладка в гуглхром (а что, синтаксис тот-же, на eval() хром будет крашиться, в логах буду смотреть какая виндовая функция там вызывается, переносить ее в отдельный файл, а из кода ее убирать. Затем все сначала.
При этом у меня всегда есть возможность проверить результат на виртуалбокс.
И так, самый вопрос: как можно этот код привести к читаемому, понятному виду? Первый вариант долгий (там в коде 1500 строк), Второй вариант вызывает сомнения.
(примечание на всякий случай: на борту у меня ubuntu, на виртуалке Windows XP, )
Как провести реверс-инжиниринг криптованного вируса, написанного на jscript (WSH)? Прикрепил код вируса (скачать код) к посту в pdf файле, дабы скачавший его, случайно не запустил. Вирус опасен, и может здорово навредить. Для особо любопытных: вирус шифрует все файлы, а на рабочем столе появляется адрес почты для связи с (сами знаете с кем и для чего).
Как я понял, скрипт не хранит вредоносные команды в самом себе. Есть функции, которые возвращают отдельные символы, из которых складываются строки. Затем они выполняются функцией eval(). Сделано так, для того чтобы антивирус не сработал.Пример:function IM()
{
var XBt=38774;
return "S";
}
function W(svu)
{
var OF=30586;
var wg=OF+24239;
var kdy=wg/255;
var mi=kdy-214;
var bHh = eval(Nx() + (svu+mi) + uSk());
return bHh;
}
Хочу отрефакторить этот код к нормальному виду, чтобы понять что он делает, как работает, и какой алгоритм используется для шифрования. У меня было 2 варианта:
1) вручную переписать, вместо функций писать сразу символы которые они возвращают, удалить лишнее(да, там есть переменные, которые тупо объявляются, и не используются)
2)отладка в гуглхром (а что, синтаксис тот-же, на eval() хром будет крашиться, в логах буду смотреть какая виндовая функция там вызывается, переносить ее в отдельный файл, а из кода ее убирать. Затем все сначала.
При этом у меня всегда есть возможность проверить результат на виртуалбокс.
И так, самый вопрос: как можно этот код привести к читаемому, понятному виду? Первый вариант долгий (там в коде 1500 строк), Второй вариант вызывает сомнения.
(примечание на всякий случай: на борту у меня ubuntu, на виртуалке Windows XP, )
Как я понял, скрипт не хранит вредоносные команды в самом себе. Есть функции, которые возвращают отдельные символы, из которых складываются строки. Затем они выполняются функцией eval(). Сделано так, для того чтобы антивирус не сработал.Пример:function IM()
{
var XBt=38774;
return "S";
}
function W(svu)
{
var OF=30586;
var wg=OF+24239;
var kdy=wg/255;
var mi=kdy-214;
var bHh = eval(Nx() + (svu+mi) + uSk());
return bHh;
}
Хочу отрефакторить этот код к нормальному виду, чтобы понять что он делает, как работает, и какой алгоритм используется для шифрования. У меня было 2 варианта:
1) вручную переписать, вместо функций писать сразу символы которые они возвращают, удалить лишнее(да, там есть переменные, которые тупо объявляются, и не используются)
2)отладка в гуглхром (а что, синтаксис тот-же, на eval() хром будет крашиться, в логах буду смотреть какая виндовая функция там вызывается, переносить ее в отдельный файл, а из кода ее убирать. Затем все сначала.
При этом у меня всегда есть возможность проверить результат на виртуалбокс.
И так, самый вопрос: как можно этот код привести к читаемому, понятному виду? Первый вариант долгий (там в коде 1500 строк), Второй вариант вызывает сомнения.
(примечание на всякий случай: на борту у меня ubuntu, на виртуалке Windows XP, )
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Для реверс-инжиниринга криптованного вируса, написанного на JScript (WSH), вам следует использовать специальные инструменты для анализа кода. Одним из таких инструментов является декомпилятор JScript, который может помочь вам преобразить исполняемый файл обратно в исходный код.
Однако, учитывая опасность вируса, важно помнить о безопасности и проводить анализ в безопасной среде, такой как изоляция от интернета или использование виртуальной машины.
Также, применимо к вашим вариантам, переписывание кода вручную может быть долгим и трудоемким процессом, особенно если код состоит из 1500 строк. Отладка в браузере Chrome также может быть полезным инструментом, но требует определенного опыта и знаний для анализа результатов.
Рекомендуется использовать комбинацию инструментов и методов для реверс-инжиниринга вируса, описанных вами, а также проконсультироваться с опытными специалистами по кибербезопасности, если это необходимо.