Попытался устроиться в др.Вэб

LMaster
> eval().
не рекомендую. перехватить eval можно, но так же можно написать код типа следующего:

function foo(bar)
{
eval('baz = bar');
return baz;
}

сравните результат до и после перехвата eval. куча хакеров использует этот трюк. и вообще eval это не модно. см. jsfuck. а еще есть Function. т.е. нужно перехватывать два конструктора и eval (не говоря уже за разновидности eval'а доступные уже в браузере).

проще трассировать расшифровку строк. универсальней.

 

TermoSINteZ
> Можешь написать в отдельной теме, например в разделе RESEARCH.
нам с тобой это точно неинтересно, ибо все это мы видели, курили и нюхали. а вот что интересно народу -- это вопрос. готовые инструменты или общие принципы? что-то тема скриптов тут не вызывает всеобщего ликования.

jsunpack распаковывает это благодаря стечению обстоятельств. в скрипте есть 'arguments.callee.toString' как ключ расшифровки. возвращаемый результат зависит от браузера. для разных движков он будет различным. в данном случае нормально работает SpiderMonkey и v8, но ряд скриптов распаковываются только под IE для которого написаны.

мой скрипт анпакер не зависит от движка (в отличии от jsunpack) и замечательно отработает и с CSCript, что есть stand-alone реализация скриптового движка от IE. на нем же распаковываю и VBScript.

а если скрипт заточен под сафари или оперу -- на этот случай у меня предусмотрен iCap механизм для распаковки в готовом браузере.

jsunpack в сорцах. у меня примерно так же все и работает, только сразу сделан упор на независимость от движка и предусмотрена возможность работы в готовом браузере (включая pdf плагины к браузеру, если это скрипт для pdf).

ЗЫ. деобфускация флеши _намного_ более интересна кстати

 

TermoSINteZ, kaspersky
В данной ветке народу интересен заработок .
Будет очень познавательно, если Крис расскажет о том, как он проходил собеседования в разные компании, какие вопросы задавали, какая царила атмосфера при общении, опишет интерьеры в деталях, расскажет чем, кого и как давят на собеседованиях.

Очень хочется послушать, как устроился в жизни сам Термосинтез, в какой компании работает, а если это закрытая инфа, то хотя бы как в данной компании проходят собеседования и как собеседовали его.
Судя по посту, когда-то ведь ты искал работу и оббил пороги далеко не одной компании в Питере.

 

JS гуглится в интернете. Смею предположить, что это какая-то связка. (Пруф)
Залил на pastebin распакованный JS (с комментариями). Если где-то накосячил - поправляйте.
http://pastebin.com/v3bDjKm7

 

Он об этом писал. Гуглите.

Работает вместе с Крисом в МакАфи. Собеседовали, скорее всего, так же как Криса.

 

Да, я знаю про jsunpack, но решил не писать в ответе так как реально-то не шарю в скриптах.
Про распаковку (без собственного инструментария) было бы интересно, я уже писал как то тебе пост про это...И думаю многим тоже.

 

Это я думаю следующий этап после ручной распаковки.

 

Макафи, интел вроде купила, теперь у вас есть доступ и к разрабатываему железу, насколько я понимаю. Хардварный антивирусник, вы там случаем не готовите представить миру? По джава скриптам, подробный тутуриал не помешал б, интересны, конечно принципы, нафиг автоинструменты... Типа Нарвахи, очень познавательно.

 

99% что скрипты это бывшая связка el fiesta
малзиллой декодятся за пару секунд, на самом деле, современные эксплоиты обычно доставляют гораздо больше проблем в плане снятия обфускации.

 

Чёта Крис пропал с обещаным мануалом по скриптам??? Также внезапно как и появился...

 

Clyde
> малзиллой декодятся за пару секунд,
нах малзиллу. она привязана к движку. а скрипты зачастую заточены под конкретный движок. руками эти скрипты распаковываются быстрее, чем скачивается малзила на гигабитном иннете. 49 символов. кто короче?

для MS JScript:
-----------------
добавить след. строку перед началом скрипта:
o=eval;eval=function(a){WSH.Echo(a);return o(a);}

$CScript.exe name_to_unpack.js > out (CScript.exe входит в дистр начиная с 95 винды)

для SpiderMonkey и v8:
echo o=eval;eval=function(a){print(a);return o(a);} > 1.js
js.exe -f 1.js -f name_to_unpack.js > out # spidermonley
shell.exe 1.js -f name_to_unpack.js > out # google v8

ес-но, это только для eval. не все скрипты так распаковываются. но по любому, полагаться на малзилу нет смысла. универсальные распаковщики пишутся руками быстрее, чем скачивается этот стафф...


> на самом деле, современные эксплоиты обычно доставляют гораздо больше проблем в плане снятия обфускации.
это верно. чего стоит только один контроль версии (зачастую завуалированный). если версия не та, которую хочет скрипт, то он просто отваливается.

artkar
> Чёта Крис пропал с обещаным мануалом по скриптам??? Также внезапно как и появился...
что-то не помню, чтобы такого обещал... я ж говорил, кворума нет ;(

 

А это как давно было? Разговора по теории не было совсем, просто задание на распаковку и анализ?

 

Я просто удивился, они сейчас сидят в БЦ класса "А", откуда там комната с убогой отделкой. Может давно дело было.
А у тебя был в резюме опыт связанный с вирусами, обратным проектированием, распаковкой или просто опыт программирования?

 

TermoSINteZ, взяли вас в итоге, не?