sabato 13 ottobre 2007

Deobfuscating javascript tool v.1.01

E' scaricabile (link nella barra laterale della pagina) la nuova versione del tool per decodificare semplici sequenze offuscate presenti nel codice javascript di pagine di solito contenenti malware.

Rispetto alla versione precedente ora si possono deoffuscare anche semplici sequenze di codici che usano la funzione XOR per la codifica.
Occorre in questo caso fornire la chiave numerica presente nella funzione javascript. (vedi file txt allegato)
Preciso che si tratta di un tool creato piu' che altro a scopo didattico in quanto funziona solo su alcuni semplici script offuscati e non su quelli ben piu' complessi presenti in alcuni siti.
Nel file txt allegato e' disponibile una serie di codici offuscati che comprendono anche il recentissimo e lungo codice che fa parte nel nuovo sito stormworm del 12 ottobre 07.
Basta fare un copia e incolla nella finestra di input del software per utilizzarli.
Inoltre notate come in alcune sequenze siano aggiunti volutamente caratteri in eccesso (form feed) per creare difficolta' alla visualizzazione del risultato.
Leggete il testo allegato per altre note.

Edgar

Nessun commento: