这是一个创建于 1559 天前的主题,其中的信息可能已经有所发展或是发生改变。
闲得无聊来扒下皮
首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js
打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png
把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分
所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后
\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了
首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js
打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png
把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分
所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后
\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了
第 1 条附言 · 2020-08-11 02:56:46 +08:00
点击图片看大图……
技术不算牛逼,都是小聪明,打几个断点就明白原理了
技术不算牛逼,都是小聪明,打几个断点就明白原理了
第 2 条附言 · 2020-08-11 18:20:56 +08:00
这个恶意扩展被下架了,但这人上传的其他扩展仍然在
https://microsoftedge.microsoft.com/addons/search/edge%20ext
https://microsoftedge.microsoft.com/addons/search/edge%20ext
 |
103
zhouS9 2020-10-17 10:11:21 +08:00
震惊。。。我昨天才刚卸载,今天就看到这个贴子。原因是它导致 edge 出现了一个 bug,才发现商店已经下架了,但是不知道为什么下架。。。
|
 |
104
purplemystic 2022-06-13 17:02:44 +08:00
又出现了
|
Select Language