问题标签 [deobfuscation]

我需要一个子程序，给定一组字符，它将生成长度为 k 的这些字符的所有可能组合。订单很重要，并且允许重复使用，所以如果k = 2这样AB != BA，并且AA是一种选择。我在 PerlMonks 上找到了一些工作示例，但不幸的是，它们是代码高尔夫，对我来说并不容易理解。有人可以做以下一项或多项吗？

1. 给出第一个算法如何工作的分解和解释。
2. 对代码进行去混淆处理，使含义更清晰。
3. 给我指出另一个更清楚的例子。

谢谢！

我正在使用默认的 Eclipse 安装来签署和发布应用程序。我没有弄乱 default.properties 文件或 proguard.cfg 文件，但是当我在 Developer Console 上查看堆栈跟踪时，行号仍然关闭。所以看起来我的代码仍然有点模糊。我阅读了 ProGuard 文档，并尝试查找应该在 /proguard 中的 mapping.txt 文件，但在那里或 bin 中没有找到这样的文件夹。

这里发生了什么？有什么办法可以阻止它自动混淆，或者至少让我有一个 mappings.txt 文件？我会很感激任何见解。这是我的 default.properties 文件的内容：

这是我自动生成的 proguard.cfg 文件：

可能重复：
这个代码是什么？

您好，我正在尝试解码此混淆代码。我可以使用任何工具来执行此操作吗？

我的网站（非常大的社区网站）最近感染了病毒。每个index.php文件都已更改，因此这些文件的开始 php 标记已更改为以下行：

当我对此进行解码时，它产生了以下 PHP 代码：

我已经尝试了几种方法来清除病毒，甚至从备份中恢复，并且文件在几分钟或几小时后被重新感染。那么你能帮帮我吗？

你对这种病毒了解多少？

是否存在用于安装和传播的已知安全漏洞？

上面的 php 代码实际上做了什么？

它嵌入到 iframe 中的页面有什么作用？

当然更重要的是：我能做些什么来摆脱它？

请帮忙，我们几乎没有想法和希望:(

UPDATE1 更多细节：奇怪的是：当我们第一次检查受感染的文件时。它们已更改，但在某些情况下，它们在 ftp 程序中的修改时间显示上次访问是几天、几个月甚至几年前！这怎么可能？它让我疯狂！

更新 2 我认为问题是在用户在他的 Wordpress 安装中安装插件后引发的。从备份恢复并完全删除 Wordpress 文件夹和关联的数据库后，问题似乎消失了。我们目前订阅了一项安全服务，他们正在调查这个问题，以确保黑客永远消失。感谢任何回复的人。

我维护了三个 wordpress 博客，昨天早上，它们都被黑了。在我所有index.php的第一行中，如下所示：

除了修复它（这似乎有效）之外，我想知道它的作用以及目的是什么。

所以我解码了插入的代码：

粗略地说，如果我理解正确，它会显示一个额外iframe的内容，其中包含一些需要加载的源，但前提是用户代理和 ip 不在被阻止的 ips 或被阻止的机器人列表中。我的猜测：确保我的网站不会被列入黑名单，但任何访问者仍会收到垃圾邮件。

但我仍然很好奇：它实际上是做什么的？

因此，我使用 RestClient 访问了http://wumpearpmy.cz.cc/go/1的链接，并获得了以下返回的 HTML：

行。我可以阅读groupon.com，但我猜那只是假的（太明显了？）它会检查 cookie 的存在吗？哪个饼干？我无法立即推断出这一点。它会在两秒钟内发布到clicks.maximumspeedfind.com。我没有尝试这样做。大量代码确保窗口保持小，几乎不可见。但似乎也有很多混淆的代码。

任何人都可以告诉我他们在这里想要做什么吗？如何？

这是他们试图伪造的点击率吗？（也许天真）。

我遇到了一些我认为是恶意的 java 脚本代码，但其中大部分都被混淆了。我想知道是否有人可以帮助我弄清楚这段代码的实际作用。

提醒一下，不要执行此代码。

什么等价于没有 ixor~

.

会是这个吗？

或者（怀疑这个？）

或者（怀疑这个？）

谢谢，我自己不能真正测试它，我可以.. 但我正在写一个反混淆器，我想 100% 确定。

我将如何修复

删除~

我必须==改为!=吗？

谢谢，这可能是这种类型的最后一个问题。

ps.>感谢您帮助我解决以前的问题

~(-1 + var1) < -1到var1 > 1

~(var1 & 0x22) != -1到(var1 & 0x22) != 0

~var1 < ~var2到var1 > var2

我正在创建一个将获取调查类型数据的网络应用程序。用户会看到几个文件并询问一个问题。用户希望不歪曲数据，一定不能知道文件的文件名。

为 JPlayer 实例创建了一个空的 div，我已将“位置”属性添加到 div，因此在客户端设置 JPlayer 实例时，JPlayer 知道要播放什么 .wav

这是设置要播放的声音的javascript的一部分，在这里很容易看到文件位置只是从div中拖出来的

基本上，目的是从 HTML 文档中隐藏“sound.wav”并保持 javascript 动态。混淆和去混淆之间的翻译文件是可能的，但保持这种动态会很好。

Base64 编码通常用于混淆纯文本，我想知道是否有任何快速/简单的方法来混淆 base 64 字符串，因此它不容易被识别。为此，该方法应混淆填充字符（='s），使它们成为其他符号并且更加分散。

有谁知道一种简单（且容易可逆）的方法来做到这一点？

您可以使用移位密码，但我正在寻找更全面的东西，例如，如果我的移位密码映射 = 到 a，有人可能会注意到一个经常以 a 结尾的字符串。

目的不是增加安全性，实际上只是让base64无法识别为base64。它也不需要通过安全专家，只需要知道base64是什么以及它的样子的个人。例如（= 结尾等）

我描述的方法可能会添加非 base 64 字符，例如 ^%$#@!，以帮助混淆读者。

大多数回复似乎都是关于我为什么要这样做的主题，基本的答案是该操作将多次完成（所以我想要一些便宜的东西），并且以没有密码的方式完成记得（为什么我不异或）。此外，数据不是高度敏感的，只是用作对付可能知道什么是 base 64 字符串的临时用户的一种方法。