Как получить исходный код JS?

Question

[Дмитрий Добрышин]

Здравствуйте!

Наткнулся на странице на такой код:

eval(decode('#1euiQdZ5Ac2tlwr0haOJVM3FQc24PfqY5yLU2MLB0JvmXaGo9wvl7eNtZwvPhDGoOduYifKJZbOAVM29UzuUQcN9XdN9NbG5WdNdTb2mVc2UZMKEVM28OC3aidjp6fjo9wvPVd3pTbLEPxZXOyHU2MLwhaZo9wuaicvBmC3Q6zNaWdlJiM2hPaOJVM3FQc24Paqm7bKMhyuEVbK5laLiDajhOzjdQDkohxjMhcNJ3wtxma0J4dqilwqThxZEOzqoObGdQzOFmd3EPej5lyGm7aZo9wvFZeKI7dNJ0eLxVC319yHUQajhiaZm7cu9OyqeKEJBIwsFWcKtQcOAhFLxZc3whxZl7cZ5iM3FQc25nzmaid3FtdOxWdjhQC31mcvBmf2Qnyqe2MLB0L2YWMKEOzvaid3FIfLpmyHUAc2tlKu1TyvhQC319CX=='));

Понимаю, что после декодирования должен получиться исходный код js. Однако декодирование BASE64 возвращает какую-то не читаемую строку.
Подскажите, есть ли способы расшифровать такой текст до нормальных команд? И хотя бы в какую сторону смотреть?

PS.
Так как я не знаю, что же там зашифровано, не рекомендую выполнять eval().

Comments

[Lynn «Кофеман»]

Найти исходник функции decode

[Дмитрий Добрышин]

Алексей Тен, Спасибо.
Как-то считал, что decode берётся из jQuery, оказалось, что есть ещё метод с таким же названием.
Вероятно декодирование происходит в этом цикле:

if (string.indexOf("#") == 0 && -1 == string.indexOf(".")) {
			for (string = string.substr(1), s2 = "", i = 0; i < string.length; i += 3) {
				s2 += "%u0" + string.slice(i, i + 3);
			}
			string = unescape(s2);
		}
		return string

[Lynn «Кофеман»]

Дмитрий Добрышин, Ну так выполните этот decode на этой строке и посмотрите что получится.

[Дмитрий Добрышин]

Дмитрий Добрышин, увы, метод оказался не тот :( опять у разбитого корыта :(

[xmoonlight]

Дмитрий Добрышин, то, что Вы положили - может быть вообще dead-кодом и никогда в жизни не выполняться (как сама функция, так и то, что закриптовано). Это делается для запутывания логики при понимании исходника.

[Stalker_RED]

Дмитрий Добрышин, это не вся функция decode, или какая-то другая функция. Покажите ее целиком.

[Stalker_RED]

Дмитрий Добрышин, это не вся функция decode, или какая-то другая функция. Покажите ее целиком.

[Дмитрий Добрышин]

это в файле плеера :)

decode: function(string) {
		if( string == 'undefined' || string == null ) {
			return false;
		}
		if( typeof string == "object" ) {
			return string;
		}
		if (string.indexOf("#") == 0 && -1 == string.indexOf(".")) {
			for (string = string.substr(1), s2 = "", i = 0; i < string.length; i += 3) {
				s2 += "%u0" + string.slice(i, i + 3);
			}
			string = unescape(s2);
		}
		return string
	},

А это в JQuery:

function decode(s) {
		return config.raw ? s : decodeURIComponent(s);
	}

[Дмитрий Добрышин]

xmoonlight, хм.. может быть.. но ссылок пока не обнаружил.

Answer 1

[xmoonlight]

Вставьте вначале всего кода скрипта и запустите скрипт.

window.eval = function (str){
  alert('debug: '+JSON.stringify(str));
}

Затем, найдите строку в коде.

Answer 2

[Дмитрий]

Обычно ничего хорошего в таких кодах не бывает... ) Либо вирусы, трояны и черви

Comments

[Дмитрий Добрышин]

Вы почти правы :) Тот участок кода, который выполнял вредоносные действия удалён. Но увы часть полезного кода выполняется только на том сайте. Я им не управляю. Меня совершенное не интересует выполнение кода, который здесь закодирован, а нахождение ресурсов, к которым он обращается, чтобы внести в блоклист фаервола.

Естественно не интересует вариант с постоянным обращением за помощью, а быстрая дешифровка с изоляцией угроз.