V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
GeekHub
Jat001
V2EX  ›  分享发现

edge 商店里的 Proxy SwitchyOmega 是李鬼

  Jat001 · 52 天前 · 12951 次点击
这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。
闲得无聊来扒下皮

首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js


打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png


把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分


所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后


\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了

第 1 条附言  ·  48 天前
点击图片看大图……
技术不算牛逼,都是小聪明,打几个断点就明白原理了
第 2 条附言  ·  48 天前
这个恶意扩展被下架了,但这人上传的其他扩展仍然在
https://microsoftedge.microsoft.com/addons/search/edge%20ext
102 条回复    2020-08-21 12:08:42 +08:00
1  2  
lilydjwg
    101
lilydjwg   39 天前
@F0nebula #100 哦,看来是人力不够用了……看来以后装扩展还是要小心点。
fy
    102
fy   38 天前
@legend4 #42 请问 Chrome 商店两个 smartproxy 哪个是对的?用户量也差不多。他内置 DNS 吗?
1  2  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2845 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 18ms · UTC 12:29 · PVG 20:29 · LAX 05:29 · JFK 08:29
♥ Do have faith in what you're doing.