【JavaScript 逆向】AST 反混淆

使用AST解混淆易盾加密代码

原创

已于 2023-05-15 17:29:54 修改 · 2.2k 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#爬虫

于 2023-05-11 01:46:00 首次发布

本文介绍了如何利用AST(A抽象语法树)对易盾混淆的代码进行解混淆，包括识别大数组、执行偏移、替换引用和大对象还原等步骤，涉及babel库的使用和eval函数。

本期目标网站为：

aHR0cHMlM0EvL2R1bi4xNjMuY29tL3RyaWFsL2ppZ3Nhdw==

市面上有许多好用的解混淆的工具，如v神的插件、蔡老板的一键还原等，效果都非常不错。

本文是对易盾加密代码的简单解混淆，主要是对 AST 进行一个初步的学习与了解。

AST 解混淆需要使用到 babel 库，关于babel库的使用可以看官方文档。这里不介绍库的用法，只对解混淆思路做一个简单分析。本案例代码在最下方。

大数组还原

对于易盾这类混淆来说，基本特征都是一样的。在开头或某个地方定义一个大数组，用于存储变量的值，然后定义一个方法，根据传入的参数来从大数组中取值。稍微复杂一点就如易盾一样，还会通过一个自执行函数来对数组进行偏移。所以如果我们需要将大数组进行还原，需要先要对大数组进行偏移，然后通过eval将所有引用了大数组的地方的值计算出来。

本案例中：

大数组变量名为：_0x5ea4

取值方法名为：_0x4139

取大数组取值方法名

//大数组取值方法名
const largeArray = ast1.program.body[0].declarations[0].id.name
// _0x4139

执行偏移代码

得到大数组变量名后再取大数组与偏移代码，观察代码结构，可以发现我们需要的为 body 下的 VariableDeclaration、FunctionDeclaration 与 ExpressionStatement下的第一个 CallExpression。

VariableDeclaration ：大数组

FunctionDeclaration ：大数组取值方法

CallExpression：大数组偏移代码

拿到这三个结构后我们就可以执行了，这里我们可以直接删除掉 AssignmentExpression 结构，剩余的就是我们要执行的结构。

在这里插入图片描述

traverse(ast, {
   
   
    enter(path) {
   
   
        if (path.node.type === 'AssignmentExpression' && path.node.left.type === 'MemberExpression') {
   
   
            path.remove()
        }
    }
})

offsetCode = generator(ast, {
   
   compact: true}).code
eval(offsetCode)
console.log(_0x4139(0xb34))
// toString

为了防止误删其他代码，这里多做了一层判断。为了验证代码是否正确执行，可以调用一下大数组取值方法，看看是否能够正确输出结果。（_0x4139 是本案例代码中大数组取值的方法名）

替换

能够正确执行偏移代码后，就可以将所有引用大数组的代码替换成真实的值了。如

    var _0x530fea = _0x4139
      , _0x1bbc44 = {
   
   }[_0x530fea(0xb34)]

最低0.47元/天解锁文章