常见反爬策略整理——Js 混淆

已于 2025-04-17 14:59:14 修改
阅读量1.8k 收藏 5
点赞数 22
分类专栏: 常见反爬策略整理 文章标签: 爬虫 node.js
于 2025-02-20 21:03:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38223858/article/details/145763200
版权

文章目录

一、编码混淆

1.1 Base64 编码

  • 编码后的内容组成

    • 大写字母:A-Z
    • 小写字母:a-z
    • 数字:0-9
    • 特殊字符:+/
    • 结尾可能有 =

  • 关键词 btoaatob
    js 提供的 base64 编码、解码的方法

  • 编码 和 解码 示例代码
    在这里插入图片描述

1.2 Unicode 编码

字符用 \u 开头的两位十六进制数形式表示。
在这里插入图片描述

  • 解码示例
    在这里插入图片描述

1.3 十六进制转义

将每个字符的 Unicode 编码值以 \x 开头的两位十六进制数形式表示。
在这里插入图片描述

  • 解码示例
    在这里插入图片描述

1.4 URL 编码

对一些特殊字符转换为以 % 开头的编码格式,这种编码方式将非 ASCII 字符和某些特定字符(如 &, =, / 等)转换为 URL 安全的字符形式,避免这些字符在 URL 中引起问题,结合其他编码方式,也可以使字符串的某些部分变得不易理解。

  • 编码 和 解码 示例
    在这里插入图片描述

二、ob 混淆

2.1 ob 混淆特征

如图所示通过 obfuscator 生生成了一段标准的 ob 混淆代码,可以观察到 ob 混淆有如下几个明显的特征:

  • 函数名和变量名通常以 _0x 或者 0x 开头,后接 1~6 位数字或字母组合
  • 字符串加密,将字符串转换为16进制、Base64Unicode 编码等形式
  • 大多情况有大数组,且有对数组进行移位的操作,伴有关键字:pushshift
  • 控制流平坦化:一般都是核心的业务代码
    在这里插入图片描述

2.2 解决方案

  1. 推荐 v_jstools猿人学 ob 解混淆 工具进行解析。图为 v_jstools 解混淆示例
    在这里插入图片描述

  2. AST 还原代码

  3. 直接扣取所有代码,利用 hook 定位到关键加密位置,补环境处理

三、js_fuck

3.1 特征

内容仅由 ! [] + () {} 这些符号组成,无法直观的区分代码结构和逻辑,难以调试。
JSFuck 转码符号含义可查阅官网地址:https://jsfuck.com/
在这里插入图片描述

3.2 解决方案

  1. 推荐 v_jstools 工具,进行解密得到结果供参考分析。图为 v_jstools 解析 JSFuck 混淆代码示例:
    在这里插入图片描述

  2. 控制台直接运行代码

    • 如有报错,点进去即可查看到源码
      在这里插入图片描述
    • 若不报错,则截取部分代码直接运行,主动令其出错

  3. 单步调试,观察代码做了什么

  4. 复杂的代码需要根据实际情况,结合上述多种方式~

四、aa 混淆 & jj 混淆

二者都是通过 Js 内置的构造函数 Function 创建自执行匿名函数,将源代码作为函数体执行,或者是通过 eval 执行编码后的代码。

4.1 特征

  • aa 混淆
    如图,著名的表情包代码
    在这里插入图片描述
  • jj 混淆
    在这里插入图片描述

4.2 解决方案

  1. 将混淆代码直接在控制台运行,同 js_fuck 一样处理
  2. 单步调试,进入虚拟机后可查看到源码
  3. hook Function 或者 eval,源码从 arguments 中可以查看到
    在这里插入图片描述

5、交流群

不会经常刷博客,有需要者可以加本人,搜索 LOVE_SELF_AD_LIFE,进逆向群聊,一起探讨技术
在这里插入图片描述

某小说站点逆向还原文本——CSS,AST解混淆
leavemyleave
09-28 1996
前段时间视频刷到一个小说站点,其内容没啥营养,却使用了CSS和OB混淆。于是我去读了一下它的算法。读懂并写出脚本后,感觉这个网站逆向难度较小,可以尝试解决,即:只需要给出小说某一章的html链接,就能获取其内容。样本地址:aHR0cHM6Ly9nLmhvbmdzaHUuY29tL2NvbnRlbnQvMTIxMTAyLzI3NzM2MDkuaHRtbA==ts-nodetypescriptbabelsuperagentcheerio。
JS混淆方法
11-28
压缩文件中包括一个DOC简单介绍了如何安装uglifyjs另附一个压缩JS混淆 JS批处理程序
javascript混淆之packed混淆(一)
dianyin7770的博客
07-06 404
javascript混淆之packed混淆(一) 什么是JavaScript混淆,在理解这个概念前我们先来看下什么是代码混淆,代码混淆,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。所以JavaScript混淆就是为了破解这种难以理解的js代码的。 混淆有很多种格式目前我接触最多的就是packed混淆。 什么是packed混淆 我们首先我们来看一段...
JS逆向之JS混淆
最新发布
m0_64408930的博客
04-12 2107
本文主要ob混淆特征。
js混淆
wangjiakang12306的博客
07-17 3114
这个是咸鱼大佬找到的混淆,我拿到网站自己搞了一波,网页下方的中属性是数据加密的地方,这种加密一般都是在前端完成的,后端给出一个加密后的密文,前端拿到密文后进行解析,展示。 谷歌浏览器 f12 然后看下这个位置,发现是展示在id="equip_desc_panel"的地方,根据老方法搜关键词,直接搜id的内容 会看到这个id被调用渲染传参的js函数 然后根据这个函数的调用得到这串密文 ...
JS混淆
Alt + F4
12-10 145
在线混淆 链接: git链接
入门——JS混淆之百度翻译!这个爬虫教程有点东西!
爬遍所有网站
12-11 276
一、分析百度翻译网页,获取明显易得的参数 以定位到URL为前提 先作对比,找出不同的参数 从之前的请求响应中找数据 (1)网页源代码中查找 (2)全局请求搜索 可以观察到,我们输入中文时回车或者点击翻译按钮又或是不管的时候,这是会有一个结果响应,即对应的英文单词。 在XHR中我们看到了有加载的数据,我们试着在这里面找东西。 PS:如有需要Python学习资料的小伙伴可以加点击下方链接自行获取 python免费学习资料以及群交流解答点击即可加入 我们看到有个英文单词叫做tra
Python 爬虫——文本混淆爬虫
Python美丽星球--微信(Felixzfb)
06-26 1198
文中案例参考 GitHub项目 4 文本混淆爬虫 4.1 图片伪装为文字爬虫 有些文字内容实际是图片伪装的 提取图片的内容(图片请求响应结果res.content就是图片的字节数据,可以直接write为图片对象,也可以打开为图片对象,看案例) 图片对象使用光学字符识别技术(pytesseract库)从图片中提取文字 PyTesseract缺点:只能识别出一些清晰工整的图像中的文字,扭曲的文字或者有其它颜色图片干扰信息时候识别不准确 参考案例001(02文件夹中) 4.2 CSS偏移爬虫 一般用于
js逆向——客户端js生成cookie
Tandy12356_的博客
08-06 2232
js客户端生成cookie参数acw_sc_v2逻辑分析
关于JS混淆
liboazura163的博客
05-18 411
前端JS混淆 前端js混淆,“防君子不防小人”,无论做什么程度的混淆,都是可以被破解的,主要是增加破解难度,为网站争取防御时间。 混淆对性能有影响,也可以通过规则来控制影响的大小。但是混淆的目的是保护代码,如果因为混淆影响了正常功能就舍本逐末了,所以考虑清楚再用; 最后,代码之所以要保护,是因为代码逻辑需要保密,针对于这样的逻辑,还是放在服务器端比较好,放在前端,是阻止不了代码逻辑被窥探的~~ ...
js混淆工具
12-18
js混淆工具,可以混淆混淆和压缩了的js文件
JavaScript混淆
qq_15326513的博客
07-16 8815
以上,我们就介绍了接口加密技术和 JavaScript 的压缩、混淆和加密技术,知己知彼方能百战不殆,了解了原理,我们才能更好地去实现 JavaScript 的逆向。参考文献。
js混淆
weixin_33877092的博客
06-18 130
js混淆 http://www.bm8.com.cn/jsConfusion/?   或者 http://jsbeautifier.org/
JS 混淆
热门推荐
lacoucou的专栏
04-10 1万+
在使用某插件的过程中,大量个性化需求不能满足,于是我有了更改源码的冲动。翻遍所有角落,只找了一份压缩混淆js 文件,能否混淆,这是本节讨论的重点。 一、场景复现 先来说说几种我们迫切需要知道源码的情况: 1.阅读源码,当然,大部分开源的代码都是可以直接查看的; 2.对某插件做个性化的需求更改,这时候你渴望看到未混淆压缩的代码; 3.为了增加代码分析的难度,混淆(obfuscate)工具被...
js混淆的方式方法
专注AI大模型,软件混淆,授权
10-06 1787
JavaScript代码混淆通过多种技术方法来增加代码的复杂性,使其在编译、逆向工程和调试时难以理解和分析。常见混淆方法包括变量名和函数名混淆、字符串加密、控制流扭曲、死代码插入等。这些方法虽然可以有效保护代码的隐私和安全,但也要平衡代码的可维护性和性能,以免过度混淆导致代码难以维护或运行效率低下。
JS混淆详解
2302_80280669的博客
12-30 1748
开头定义了一个大数组,然后对这个大数组里的内容进行位移,再定义一个解密函数。后面大部分的值都调用了这个解密函数,以达到混淆的效果。这种代码即为ob混淆,不仅变量名混淆了,运行逻辑等也高度混淆,难以理解。例如:混淆前代码(如果没有特殊标记,都以此为混淆前代码)4,jsfuck混淆
js混淆混淆
风中的承诺
12-26 7924
介绍几种js混淆方式
Js混淆混淆
键盘的起始页
11-19 2676
Js 混淆: https://obfuscator.io/ 功能很多,暂举两个: 1、Identifier Names Generator : 把变量、方法的名字变成 16进制(0xabc123) 或者 无意义的字母(a,b,c等) 2、String Array:把所有的字符串,抽取到一个数组中,调用的地方,通过一个方法算出index,然后到这个数组中取出字符串。 var _0x5a62 = ['log', 'Hello\x20World!']; var _0x5340 = func...
混淆 js 收集特征 爬虫
02-11
### 使用混淆 JavaScript 技术收集爬虫特征 #### 背景介绍 为了保护网页内容不被自动化程序轻易抓取,开发者可以采用JavaScript混淆技术。这些技术能够增加解析页面逻辑的难度,从而提高机制的有效性[^1]。 #### 收集方法和技术手段 ##### 一、检测环境差异 浏览器环境中执行的脚本可以通过`navigator.userAgent`, `window.outerWidth/Height`等属性判断访问者是否为真实用户。当发现异常模式时,则认为可能是来自爬虫的行为并记录其行为特点作为特征之一。 ##### 二、动态加载资源 通过异步请求分片加载必要的HTML片段或JSON数据,并设置特定的时间间隔来验证客户端是否有能力按照预期顺序完成整个流程;如果某些部分未能按时获取到响应,则可能表明存在恶意企图。 ##### 三、利用Canvas指纹识别 创建隐藏canvas元素并通过绘制图形的方式提取设备独有的渲染特性参数(如颜色精度),以此区分不同类型的访客身份。由于大多数简单模拟器无法完美重现这一过程中的细微差别,因此成为有效的辨识依据。 ##### 四、基于AST分析混淆后的代码结构 对于更高级别的防护需求而言,还可以借助抽象语法树(AST)工具链深入理解源码内部运作原理。例如使用Babel插件改造输入文件,在编译阶段加入自定义钩子函数用于监控可疑动作的发生频率及时机分布情况[^3]。 ```javascript // 插入隐蔽统计模块示例 function trackActivity(eventType){ let timestamp = new Date().getTime(); fetch('/log', { method:'POST', body: JSON.stringify({type:eventType,time:timestamp}) }); } document.addEventListener('mousemove',trackActivity); ``` 上述措施综合运用后可构建起较为完善的防御体系,不过值得注意的是任何单一策略都难以做到百分之百可靠——正如提到过的那样,“一直在斗争”,所以持续更新维护至关重要[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值