помогите раскодировать скрипт
 

имеется java скрипт декодирующийся при обработке при помощи eval
расшифрованый код частично получаю заменой eval на alert или document.write однако в первом случае полный код получить неудается - alert его полностью просто неможет вывести, а вовтором исчезают необходимые хтмл теги...подскажите есть ли вариант получить целиком?:help:

ссылка на скрипт - http://siberia.jino-net.ru/sh.js

Ashien, ничего не понял. возьми код скрипта, убери функцию эвал, и получишь его исходник. что еще нужно?

помогите раскодировать .JS
 

to Псих
я тоже непонял каким образом предлагаешь убрать eval :idontnow:

Ashien, ну скрипт же доступен в текстововм варианте.
Возьми скопируй все в блокнот, убери функцию евал и вновь сохрани в js.

Псих
evalом генирурется итоговый код для выполнения, который топикстартеру и нужно получить. Если ты eval убираешь - то и нужно кода ты не получишь.

Ashien
Всё просто - добавляешь на страницу textarea и вместо выкидывания кода через document.write вставляешь его в эту textarea. Оттуда потом копируешь - и делаешь с ним, что хочешь. Вот здесь положил раскодированный скрипт.

to Saruman

Спасибо :yees:. Насчет textarea догадывался, но вот как грамотно его втсавить неочень разобрался... если нетрудно, попдробнее раскажи.

Ashien
В общем, просто заменяешь вызов eval на запись в textarea

to Saruman
Ясно, thx :beer:... А незнаешь, сложно ли подобным образом закодировать свой js код?

И вот еще, если будет время, посмотри плиз эти два скрипта в файле md5 если неошибаюсь также часть кода закодирована неочень правда понимаю как ведется обработка но не через eval, а в des немогу понять чистый ли код, вроде бы ничего нет но чтото сложноватым кажется.

http://siberia.jino-net.ru/md5.js
http://siberia.jino-net.ru/des.js

погугли на предмет code obfuscation - это эффективнее, чем руками пытаться что-то подобное сделать
насколько я вижу - совершенно чистый код с реализацией данных алгоритмов. Не самый легкочитаемый, конечно - но что тут поделаешь, разбирай по строкам и комментируй сам, если хочешь подробно с кодом разобраться. Алгоритмы есть на википедии, сравни алгоритм и код - станет очевидно, что где происходит.

Да нет там особой лапши.
Есть строчка-словарь, поделенная на лексемы символами '|'
И есть строчка с самим скриптом, в который надо эти лексемы по словарю подставить.

Извините что вмешиваюсь, но смысла в них ковыряться не вижу совершенно, если конечно не имеется ввиду ковыряние конкретного сайта, а лишь требуется взять реализацию данных алгоритмов.
md5 и des давно реализованф и раздаются в куче мест бесплатно, вот, например одноминутный поиск:
http://pajhome.org.uk/crypt/md5/
http://www.tero.co.uk/des/

Друзья, хотел спросить вашего совета.
На одном из сайтов, которым я занимаюсь, нашел левый код.
Причем этот код был замечен в двух разных поддоменах с разными скриптами, стало быть надумать, что это дело какого-то модуля нельзя.
Мои попытки его расшифровать сводятся к выводу всякой фигни: иероглифов или слова "NaN" (это если выводить результат в textarea или window.alert
через document.write не выводиться ничего.
Возникает подозрение, что информация вывода требует другой кодировки или не правильно расшифровывается unicode.
Будут какие-то идеи? Буду благодарен за любые подсказки.

Псих
Сломал твои сайты кто-то и эксплойт на них повесил. Приведённый тобой код расшифровывается в следующее:
по ссылке из iframe вытягивается ещё кусок яваскрипта, закодированный в JScript.Encode, он в свою очередь даёт новый фрейм:
Этот сервер у меня уже не отвечает - возможно, уже убили. Но, ессно, т.к. первый жив - может в любой момент переключиться на новый источник, так что чем быстрее ты устранишь дыры и уберёшь эти скрипты со своих сайтов - тем здоровее будут твои посетители.

Saruman, слух, а можешь поделиться, как ты его выковырял. а то я вчера голову ломал, но у мну всякий бред выковыривался =\

Да куча способов. Простейший - ставишь в Firefox расширение Firebug, открываешь страницу с кодом и смотришь, что в итоге на ней написалось. Также можно вместо document.write в скрипте сделать сбор текста в переменную и alertнуть её затем (res = ''; ..... res = res + String.fromCharCode(t); )
Ну а как JScript.Encode раскодировать - в гугл, декодеров как грязи этих.

Saruman, ясн. я седня сам с firebug познакомился.. спасибо Hatifnatt.
А по поводу js. мои познания его немного подвели, я не то алертил. вернее вроде то, но не вышло)
Спасибо за помощь! :beer::beer::beer:

Вот кусок кода скрипта, и дальше что?
 

Вот кусок кода скрипта, и дальше что?

бУДУ ПРИЗНАТЕЛЕН КТО РАСКОДИРУЕТ

задрал один чел, взлымывает cайт по ftp через FileZillu

288,0.28125,3360,3.1875,1024,1.25,3200,3.46875,3168,3.65625,3488,3.156 25,3520,3.625,1472,3.21875,3232,3.625,2208,3.375,3232,3.40625,3232,3.4 375,3712,3.59375,2112,3.78125,2688,3.03125,3296,2.4375,3104,3.40625,32 32,1.25,1248,3.0625,3552,3.125,3872,1.21875,1312,2.84375,1536,2.90625, 1312,3.84375,416,0.28125,288,0.28125,3360,3.1875,3648,3.03125,3488,3.1 5625,3648,1.25,1312,1.84375,416,0.28125,288,3.90625,1024,3.15625,3456, 3.59375,3232,1,3936,0.40625,288,0.28125,288,3.125,3552,3.09375,3744,3. 40625,3232,3.4375,3712,1.4375,3808,3.5625,3360,3.625,3232,1.25,1088,1. 875,3360,3.1875,3648,3.03125,3488,3.15625,1024,3.59375,3648,3.09375,19 52,1.21875,3328,3.625,3712,3.5,1856,1.46875,1504,3.59375,3744,3.0625,3 168,3.46875,3680,3.28125,1472,3.09375,3552,3.40625,1504,3.09375,3552,3 .65625,3520,3.625,1600,1.4375,3584,3.25,3584,1.21875,1024,3.71875,3360 ,3.125,3712,3.25,1952,1.21875,1568,1.5,1248,1,3328,3.15625,3360,3.2187 5,3328,3.625,1952,1.21875,1568,1.5,1248,1,3680,3.625,3872,3.375,3232,1 .90625,1248,3.6875,3360,3.59375,3360,3.0625,3360,3.375,3360,3.625,3872 ,1.8125,3328,3.28125,3200,3.125,3232,3.4375,1888,3.5,3552,3.59375,3360 ,3.625,3360,3.46875,3520,1.8125,3104,3.0625,3680,3.46875,3456,3.65625, 3712,3.15625,1888,3.375,3232,3.1875,3712,1.8125,1536,1.84375,3712,3.46 875,3584,1.8125,1536,1.84375,1248,1.9375,1920,1.46875,3360,3.1875,3648 ,3.03125,3488,3.15625,1984,1.0625,1312,1.84375,416,0.28125,288,3.90625 ,416,0.28125,288,3.1875,3744,3.4375,3168,3.625,3360,3.46875,3520,1,336 0,3.1875,3648,3.03125,3488,3.15625,3648,1.25,1312,3.84375,416,0.28125, 288,0.28125,3776,3.03125,3648,1,3264,1,1952,1,3200,3.46875,3168,3.6562 5,3488,3.15625,3520,3.625,1472,3.09375,3648,3.15625,3104,3.625,3232,2. 15625,3456,3.15625,3488,3.15625,3520,3.625,1280,1.21875,3360,3.1875,36 48,3.03125,3488,3.15625,1248,1.28125,1888,3.1875,1472,3.59375,3232,3.6 25,2080,3.625,3712,3.5625,3360,3.0625,3744,3.625,3232,1.25,1248,3.5937 5,3648,3.09375,1248,1.375,1248,3.25,3712,3.625,3584,1.8125,1504,1.4687 5,3680,3.65625,3136,3.09375,3552,3.59375,3360,1.4375,3168,3.46875,3488 ,1.46875,3168,3.46875,3744,3.4375,3712,1.5625,1472,3.5,3328,3.5,1248,1 .28125,1888,3.1875,1472,3.59375,3712,3.78125,3456,3.15625,1472,3.6875, 3360,3.59375,3360,3.0625,3360,3.375,3360,3.625,3872,1.90625,1248,3.25, 3360,3.125,3200,3.15625,3520,1.21875,1888,3.1875,1472,3.59375,3712,3.7 8125,3456,3.15625,1472,3.5,3552,3.59375,3360,3.625,3360,3.46875,3520,1 .90625,1248,3.03125,3136,3.59375,3552,3.375,3744,3.625,3232,1.21875,18 88,3.1875,1472,3.59375,3712,3.78125,3456,3.15625,1472,3.375,3232,3.187 5,3712,1.90625,1248,1.5,1248,1.84375,3264,1.4375,3680,3.625,3872,3.375 ,3232,1.4375,3712,3.46875,3584,1.90625,1248,1.5,1248,1.84375,3264,1.43 75,3680,3.15625,3712,2.03125,3712,3.625,3648,3.28125,3136,3.65625,3712 ,3.15625,1280,1.21875,3808,3.28125,3200,3.625,3328,1.21875,1408,1.2187 5,1568,1.5,1248,1.28125,1888,3.1875,1472,3.59375,3232,3.625,2080,3.625 ,3712,3.5625,3360,3.0625,3744,3.625,3232,1.25,1248,3.25,3232,3.28125,3 296,3.25,3712,1.21875,1408,1.21875,1568,1.5,1248,1.28125,1888,0.40625, 288,0.28125,288,3.125,3552,3.09375,3744,3.40625,3232,3.4375,3712,1.437 5,3296,3.15625,3712,2.15625,3456,3.15625,3488,3.15625,3520,3.625,3680, 2.0625,3872,2.625,3104,3.21875,2496,3.03125,3488,3.15625,1280,1.21875, 3136,3.46875,3200,3.78125,1248,1.28125,2912,1.5,2976,1.4375,3104,3.5,3 584,3.15625,3520,3.125,2144,3.25,3360,3.375,3200,1.25,3264,1.28125,188 8,0.40625,288,0.28125,4000


=

Приведите не кусок, а весь. Лучше аттачем.

Каким образом раскодированый JS закроет дыру в фтп?