【JavaScript 逆向】AST 反混淆

原创 已于 2023-05-15 17:29:54 修改 · 2.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#爬虫

于 2023-05-11 01:46:00 首次发布
本文介绍了如何利用AST(A抽象语法树)对易盾混淆的代码进行解混淆,包括识别大数组、执行偏移、替换引用和大对象还原等步骤,涉及babel库的使用和eval函数。

本期目标网站为:

aHR0cHMlM0EvL2R1bi4xNjMuY29tL3RyaWFsL2ppZ3Nhdw==

市面上有许多好用的解混淆的工具,如v神的插件、蔡老板的一键还原等,效果都非常不错。

本文是对易盾加密代码的简单解混淆,主要是对 AST 进行一个初步的学习与了解。

AST 解混淆需要使用到 babel 库,关于babel库的使用可以看官方文档。这里不介绍库的用法,只对解混淆思路做一个简单分析。本案例代码在最下方。

大数组还原

对于易盾这类混淆来说,基本特征都是一样的。在开头或某个地方定义一个大数组,用于存储变量的值,然后定义一个方法,根据传入的参数来从大数组中取值。稍微复杂一点就如易盾一样,还会通过一个自执行函数来对数组进行偏移。所以如果我们需要将大数组进行还原,需要先要对大数组进行偏移,然后通过eval将所有引用了大数组的地方的值计算出来。

本案例中:

大数组变量名为:_0x5ea4

取值方法名为:_0x4139

取大数组取值方法名
//大数组取值方法名
const largeArray = ast1.program.body[0].declarations[0].id.name
// _0x4139
执行偏移代码

得到大数组变量名后再取大数组与偏移代码,观察代码结构,可以发现我们需要的为 body 下的 VariableDeclaration、FunctionDeclaration 与 ExpressionStatement下的第一个 CallExpression。

VariableDeclaration :大数组

FunctionDeclaration :大数组取值方法

CallExpression:大数组偏移代码

拿到这三个结构后我们就可以执行了,这里我们可以直接删除掉 AssignmentExpression 结构,剩余的就是我们要执行的结构。

在这里插入图片描述

traverse(ast, {
   
   
    enter(path) {
   
   
        if (path.node.type === 'AssignmentExpression' && path.node.left.type === 'MemberExpression') {
   
   
            path.remove()
        }
    }
})

offsetCode = generator(ast, {
   
   compact: true}).code
eval(offsetCode)
console.log(_0x4139(0xb34))
// toString

为了防止误删其他代码,这里多做了一层判断。为了验证代码是否正确执行,可以调用一下大数组取值方法,看看是否能够正确输出结果。(_0x4139 是本案例代码中大数组取值的方法名)

替换

能够正确执行偏移代码后,就可以将所有引用大数组的代码替换成真实的值了。如

    var _0x530fea = _0x4139
      , _0x1bbc44 = {
   
   }[_0x530fea(0xb34)]
最低0.47元/天 解锁文章
五款常用在线JavaScript加密混淆工具详解:jscrambler、JShaman、jsfack、ipaguard和jjencode
2301_77125316的博客
04-01 1721
本篇技术博客将介绍五款常用且好用的在线JavaScript加密混淆工具,包括 jscrambler、JShaman、jsfack、freejsobfuscator 和 jjencode。通过对这些工具的功能及使用方法进行详细解析,帮助开发人员更好地保护和加密其 JavaScript 代码,提升网站的安全性和保密性。通过本文介绍的五款常用 JavaScript 加密混淆工具,开发人员可以选择适合自己项目需求的工具,加固 JavaScript 代码的安全性,防止恶意攻击和信息泄露。
爬虫AST混淆与还原JavaScript实战
inhsoft的博客
09-20 1890
3-6 Path对象详解(Path与Node的区别)-反爬虫AST混淆JavaScript与还原实战 时长:4分44秒。3-15 scope详解(scope的其他方法)-反爬虫AST混淆JavaScript与还原实战 时长:3分42秒。3-7 Path对象详解(Path中的方法)-反爬虫AST混淆JavaScript与还原实战 时长:19分6秒。3-13 scope详解(遍历作用域)-反爬虫AST混淆JavaScript与还原实战 时长:3分7秒。
AST反混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向爬虫工程师的应对js混淆的不二神器
代码混淆克星:js-beautify反混淆功能深度测评
gitblog_00524的博客
10-25 599
js-beautify通过四大核心反混淆模块构建防御体系,覆盖当前主流混淆技术。其反混淆模块位于[js/src/unpackers/](https://link.gitcode.com/i/cd3cefeabf76c8c019f4ec434e69119f)目录,包含针对不同混淆工具的专用解码器。 ### 1. JavaScript Obfuscator 解码器 [javascriptobfusc...
来聊聊AST中exit和enter的区别
sing1e的博客
03-29 1659
/获取祖先节点(return)结果是这样 显然出现了错误 原因是他是从开始往后遍历 改变了祖先节点的类型 可以看到祖先节点类型从被上边的代码过滤掉 终止了代码运行。先用exit方法 exit方法:在退出某个节点时执行的操作。当 AST 遍历器完成访问该节点及其子节点后,会调用该节点类型对应的。enter类型:在进入某个节点时执行的操作。当 AST 遍历器首次访问该节点时,会调用该节点类型对应的。最近也是入手了蔡老板的AST课程 跟着蔡老板一步一步学 下面是学习的例题(笔记)做完了趁着不困梳理一下。
JavaScript 逆向AST 技术反混淆
热门推荐
Yy_Rose的博客
04-24 1万+
JavaScript 常见混淆技术类型,及如何使用 AST 技术反混淆,通过 javascript-obfuscator 库混淆 JavaScript 代码
强大的JavaScript反混淆工具
11-15
对于远程查看被混淆的JS代码的程序员有很大帮助,可以使混淆后的JS代码格式化成日常编码的书写格式,让代码还原到美观,高可读性的状态。
AST反混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及...目前可处理2022-4-20当前最新的https://obfuscator.io/中的混淆规则,是js逆向爬虫工程师的应对js混淆的不二神器
js逆向 ast 反混淆
09-03
js逆向AST反混淆是一种通过解析和修改JavaScript的抽象语法树(AST)来还原混淆代码的过程。首先,我们需要获取到混淆代码的AST表示形式。然后,根据特定的反混淆算法,对AST进行遍历和修改,以还原原始代码的结构和...
Web Js AST反混淆基础
最新发布
11-04
Web Js AST反混淆基础的内容涵盖了理解和处理JavaScript代码混淆和压缩的技术。混淆是一种代码保护手段,通过改变代码的结构和变量名使得代码难以阅读,增加他人理解代码逻辑的难度。而压缩则是为了减少文件的大小,...
JS逆向-JavaScript AST反混淆完全指南
猿榜编程的博客
05-21 1964
JavaScript AST反混淆完全指南》:当你的代码被混淆得像天书一样难懂,别慌!这篇文章就像一把"代码翻译器",教你如何把那些看起来像外星文的JavaScript代码变回人类能看懂的样子。从基础的混淆概念,到高级的AST操作技巧,再到实战案例,让你从"这是什么鬼"变成"原来如此"!不管你是想保护自己的代码,还是想破解别人的代码(当然是合法的),这篇文章都能让你成为代码界的"福尔摩斯"!
js反混淆工具
12-18
js反混淆工具,可以反混淆被混淆和压缩了的js文件
jsrepair:js反混淆工具
05-29
该项目搬运自gitee -> jsRepair 修改自etacsufbo,原项目介绍见 增加三目运算符合逗号表达式混淆的反解逻辑 etacsufbo 'obfuscate'.split('').reverse().join('') 一个简易 Javascript 反混淆工具,基于抽象语法树分析和修改实现。 ** 注意:此项目包含真实恶意程序样本,可能会引起安全软件报告。** 快速上手 git clone https://github.com/ChiChou/etacsufbo.git 下载项目 cd eracsufbo 进入目录 npm i 安装依赖项目 ./cli.js path/to/obfuscated/script.js 输出反混淆结果 命令行参考 ./cli.js [混淆的代码] [输出文件名] 如省略输出文件名,程序将把清理结果输出到 stdout 如不带参数执行,将进入 RE
JS反解压反混淆超好用的小工具
01-06
对于查看被混淆的JS代码的程序员有很大帮助,可以使混淆后的JS代码格式化成日常编码的书写格式,让代码还原到美观,高可读性的状态。
JS逆向AST解混淆----元宇宙
qq_15326513的博客
07-19 4346
AST案例网站涉及加密算法比较多,JS有又被混淆,是一个可以练练手的网站,小伙伴们一起来探讨一下吧。
一. Ast - 反混淆(基础篇)
2401_84054263的博客
05-14 5721
AST是抽象语法树的缩写。AST是一种用于表示程序代码结构的树状数据结构。在编译器和解释器中,AST被用于解析和表示源代码的语法结构AST可以看作是源代码的一种抽象表示形式,它去除了源代码中的具体细节,只保留了语法结构和逻辑关系。AST中每个节点(Node) 表示源代码的一个语法元素,例如:变量声明,函数定义,循环语句,等,而节点之间的关系表示了语法结构的层次和关联关系作用:通过构建AST,编译器和解析器可以对源代码进行分析和处理编译器可以在AST上进行语法检查、类型检查和优化等操作。
AST 技术进行 JavaScript 反混淆实战
爪巴虫
04-11 1146
通过 AST 技术,我们可以从“代码加密 → 结构解析 → 逻辑还原”完成全链路逆向工程,是应对现代混淆技术的核心手段!
JavaScript 反混淆器(JavaScript Deobfuscator)教程
gitblog_00376的博客
08-08 3131
**JavaScript Deobfuscator** 是一个强大的工具,用于移除 JavaScript 代码中的常见混淆技术,使原本难以阅读和理解的代码变得清晰易懂。它特别针对 Obfuscator.io 混淆的代码进行了优化,支持多种反混淆策略,包括数组解包、代理函数替换以及表达式简化等。 该项目由 ben-sb 创建并维护,旨在帮助开发者在处理被恶意混淆的代码时能够更有效地分析和修复问题。...
JavaScript 混淆与反混淆
阿菇kinoko
02-24 5815
JavaScript 混淆(Obfuscation)是指通过一系列技术手段,使 JS 代码变得难以理解和分析,增加代码的复杂性和混淆度,阻碍逆向工程和代码盗用。实际上就是一种保护 JS 代码的手段。那为什么我们需要保护 JS 代码呢 🤔️JS 最早被设计出来就是为了在客户端运行,直接以源码的形式传递给客户端,如果不做处理则完全公开透明,任何人都可以读、分析、复制、盗用,甚至篡改源码与数据,这是网站开发者不愿意看到的。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BuerCC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值