.replace函数是用来替换指定字符的,支持正则表达式,一些国外网马比较喜欢用它,因为它非常简单,而且又能起到混淆代码,不被杀软查杀的作用,下为一个使用此方法的网马例子:
很简单的看到它把@^&!$)#这些都替换成了空(也就是删掉了),这种代码没必要一个个的去删除或是执行一遍,选择这部分代码,然后右键菜单--其他替换--保留URL惯用字(也可以使用下面的两个选项自定义保留或删除字符)
稍稍处理一下每个部分,就能得到结果了(红色部分为去除混淆后的数据):
Blast's Security
Blast's Security Lab
2010-1-31 17:57:27
- 相关文章:
华中2010网马解密解密专家,您真牛叉 (2010-1-30 17:51:8)
Redoce相关回复(2.081~2.086) (2009-12-26 18:35:15)
Redoce相关回复(2.077~2.080) (2009-12-12 22:52:34)
Malive: 密钥变化的shellcode (2009-11-26 22:39:46)
Redoce相关回复(2.071~2.076) (2009-11-19 23:28:26)
Redoce相关回复(2.070) (2009-11-15 13:15:57)