JS混淆是不是纸老虎?

最新推荐文章于 2025-10-25 06:31:29 发布
原创 最新推荐文章于 2025-10-25 06:31:29 发布 · 419 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#js混淆 #js代码混淆 #js代码加密

本文通过实验验证JS代码混淆的有效性,使用JShaman平台对示例代码进行混淆处理,结果显示混淆后的代码难以被轻易解读,证明JS混淆是有效的代码保护手段。进一步测试反混淆工具,发现无法完全还原原始代码,特别是变量名等关键信息无法恢复。

关于JS代码混淆,一直有两种观点。

一种观点认为很有用,是JS代码保护的重要手段,这是主流观点。

但也见到少数人称不管用,是纸老虎,混淆后的代码还能读懂,随随便便就能破解。

 

哪种观点才是正确的呢?我们通过实验来证明。

实验使用JShaman平台,这是一个专业的JS代码混淆加密平台。

测试用代码,就使用平台提供的例程,简单的几行:

 

保护选项,去掉默认的“压缩代码”功能,为方便我们查看混淆后的代码。

 

一键完成混淆,得到保护后的代码:

 

跟前面保护前的4行代码相比,很显然复杂了很多,跟原始代码相比差别很大,绝不是随便就看看出代码逻辑和功能的。这还只是使用默认的保护选项,保护等级比较低,因此在代码中还有“hello world”字符串能被看到。

如果使用更多的保护选项,提高混淆强度,又会如何呢?

多勾选两个混淆选项:

 

再次一键完成保护,得到:

 

可以看到,这次得到的保护结果更为复杂。短时间、甚至长时间也不容易读懂并还原回原有的代码逻辑。

实验到这里,显然可以说:JS混淆,不是纸老虎,是真有用。

那么,混淆后的代码,是否可以进行反混淆,还原为原始代码呢?

有的人认为可以。实验继续进行:

对保护后的代码反混淆,通常用esprima、escodegen。

我们准备以下代码实现一个反混淆工具

 

注意在代码中,传入了要进行反混淆的代码,即上面我们混淆的结果。

运行,得到反混淆结果:

 

可以看到,确实条理化了代码,但远远没有还原回原本的代码,还记的原本的代码,对比一下:

 

而且我们可以思考一下:比如有一个变量名:car,它是一个有字面意义的变量。经混淆后,它会被变成随字符串,比如:_0x12345。在反混淆时,反混淆程序、工具,无论如何也不可能知道它原本的名称是car。那么,也就绝对不可能把代码完好还原回去。

实验结果证明:JS混淆,是有效的JS代码保护方式!

JavaScript 混淆方案
啊渊的专栏
05-29 354
JavaScript混淆技术通过变量重命名、字符串加密、控制流扁平化等方式保护代码安全,常用工具包括UglifyJS、Babel和Webpack插件,专业工具有JavaScript Obfuscator和JScrambler。高级方案采用代码虚拟化、WebAssembly等技术,但需注意混淆会影响性能和可维护性,不能完全替代后端安全措施。应根据项目需求选择合适的混淆强度与工具
2024年最全微众Fate-横向联邦学习-预测
2401_84562425的博客
05-02 693
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
JS的压缩、混淆加密
weixin_30315723的博客
06-28 310
参考: 博客园:js压缩、混淆加密 知乎:前端如何给 JavaScript 加密(不是混淆)? (阿里聚安全有回答问题) 站长工具 (在线JS压缩加密工具) Obfuscator(在家JS压缩加密工具,也有win下的客户端下载) uglifyjs (压缩混淆工具 ) 压缩 删除 Javascript 代码中所有注释、跳格符号、换行符号及无用的空格,从而压缩 JS 文...
代码混淆克星:js-beautify反混淆功能深度测评
最新发布
gitblog_00524的博客
10-25 599
js-beautify通过四大核心反混淆模块构建防御体系,覆盖当前主流混淆技术。其反混淆模块位于[js/src/unpackers/](https://link.gitcode.com/i/cd3cefeabf76c8c019f4ec434e69119f)目录,包含针对不同混淆工具的专用解码器。 ### 1. JavaScript Obfuscator 解码器 [javascriptobfusc...
JavaScript 混淆反混淆
阿菇kinoko
02-24 5815
JavaScript 混淆(Obfuscation)是指通过一系列技术手段,使 JS 代码变得难以理解和分析,增加代码的复杂性和混淆度,阻碍逆向工程和代码盗用。实际上就是一种保护 JS 代码的手段。那为什么我们需要保护 JS 代码呢 🤔️JS 最早被设计出来就是为了在客户端运行,直接以源码的形式传递给客户端,如果不做处理则完全公开透明,任何人都可以读、分析、复制、盗用,甚至篡改源码与数据,这是网站开发者不愿意看到的。
【JavaScript 逆向】AST 反混淆
pyzzd的博客
05-11 2263
本期目标网站为:市面上有许多好用的解混淆工具,如v神的插件、蔡老板的一键还原等,效果都非常不错。本文是对易盾加密代码的简单解混淆,主要是对 AST 进行一个初步的学习与了解。AST 解混淆需要使用到 babel 库,关于babel库的使用可以看官方文档。这里不介绍库的用法,只对解混淆思路做一个简单分析。本案例代码在最下方。
在线一键JS混淆还原
mxd01848的博客
02-17 9880
字符串混淆是一种将字符串中的字符替换为其他字符的混淆技术。例如,将字符串“hello world”中的字符“h”替换为“5”,将字符“e”替换为“3”,以此类推。下面,我们将介绍一些常见的混淆技术和如何使用JSJiaMi进行混淆和解密。函数和变量名混淆是一种将函数和变量名替换为随机字符串的混淆技术。例如,将函数名“hello”替换为“a1b2c3”,将变量名“world”替换为“d4e5f6”。这使得代码难以理解和修改。这段代码使用了常见的函数和变量名,如“helloWorld”、“x”、“y”和“i”。
精选资源
JS混淆还原工具
07-05
总之,JS混淆还原工具通过AST分析等技术帮助开发者理解并恢复混淆的JavaScript代码,虽然并非所有混淆都能完全还原,但它对于调试和维护混淆代码提供了可能。在实际工作中,正确选择和使用这些工具,可以显著提升...
php版js混淆加密插件
01-03
这个插件允许开发者对JavaScript代码进行混淆加密,使其难以被逆向工程破解。 首先,我们来看一下`combined.js`,这通常是一个合并后的JavaScript文件,将多个单独的JS文件整合到一起,以减少HTTP请求,提高页面...
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向学习时,首先需要通过反混淆技术将混淆...
精选资源
AST反混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,...目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
js反混淆工具
12-18
js反混淆工具,可以反混淆混淆和压缩了的js文件
JS反解压反混淆超好用的小工具
01-06
对于查看被混淆JS代码的程序员有很大帮助,可以使混淆后的JS代码格式化成日常编码的书写格式,让代码还原到美观,高可读性的状态。
RGSSAD纸老虎系统
11-05
纸老虎系统说明 在使用本工具前,我希望大家知道,在所有类型的加密中,游戏资源的加密是最不堪一击的。 我所欣赏的游戏资源格式是“打包+压缩”,因为加密资源对游戏(当然不包括开发商和发行商)本身并无益处,解密消耗的CPU周期,加密后的数据不利于压缩等等。 言归正传,来看看纸老虎系统的使用方法。 基本使用教程 第一步,把你的游戏做好,不要打包,建立一个文件夹,把所有资源(脚本[Data]、图片[Graphics],但是不要音乐)都拷贝到这个文件夹里。 第二步,打开纸老虎系统。 第三步,将"资源路径"设为你存放游戏资源的目录。 第四步,将"导出路径"设为你希望存放最终发布程序的目录。 第五步,
JS反混淆实战|使用cyberchef工具进行js代码反混淆
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
03-24 1185
本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!CyberChef是一款强大的编码转换器,集成了多种编码转换的功能,能辅助大家方便快捷地解密出恶意脚本。CyberChef 的 URL Decode 功能。3.没有被完全解开,我们选择Output的。unescape 函数,因为,可以试试。4.将混淆js代码复制出来反混淆即可。逆向或者安全的人员都应该能熟练的使用它。
JS反混淆相关知识
charlie_y的博客
06-06 2494
最近学习了一下JS反混淆的知识,记录一下。
反混淆JavaScript
热门推荐
小朱的专栏
08-10 1万+
0x00 前言 Javascript 作为一种运行在客户端的脚本语言,其源代码对用户来说是完全可见的。但不是每一个 js 开发者都希望自己的代码能被直接阅读,比如恶意软件的制造者们。为了增加代码分析的难度,混淆(obfuscate)工具被应用到了许多恶意软件(如 0day 挂马、跨站攻击等)当中。分析人员为了掀开恶意软件的面纱,首先就得对脚本进行反混淆(deobfuscate)处理。
JS逆向-JavaScript AST反混淆完全指南
猿榜编程的博客
05-21 1964
《JavaScript AST反混淆完全指南》:当你的代码混淆得像天书一样难懂,别慌!这篇文章就像一把"代码翻译器",教你如何把那些看起来像外星文的JavaScript代码变回人类能看懂的样子。从基础的混淆概念,到高级的AST操作技巧,再到实战案例,让你从"这是什么鬼"变成"原来如此"!不管你是想保护自己的代码,还是想破解别人的代码(当然是合法的),这篇文章都能让你成为代码界的"福尔摩斯"!
五款常用在线JavaScript加密混淆工具详解:jscrambler、JShaman、jsfack、ipaguard和jjencode
2301_77125316的博客
04-01 1721
本篇技术博客将介绍五款常用且好用的在线JavaScript加密混淆工具,包括 jscrambler、JShaman、jsfack、freejsobfuscator 和 jjencode。通过对这些工具的功能及使用方法进行详细解析,帮助开发人员更好地保护和加密其 JavaScript 代码,提升网站的安全性和保密性。通过本文介绍的五款常用 JavaScript 加密混淆工具,开发人员可以选择适合自己项目需求的工具,加固 JavaScript 代码的安全性,防止恶意攻击和信息泄露。
到底是ALT混淆还是AST混淆
09-09
你的问题非常好!我们来澄清一下: --- ## ✅ 正确术语是:**AST 混淆**(Abstract Syntax Tree Obfuscation) ### ❌ **ALT混淆** 并不是一个标准术语,它可能是对某些高级混淆技术的非正式称呼,或者某些混淆工具的特定输出风格(如 AltJS),但不是广泛认可的技术术语。 --- ## ✅ AST 混淆(抽象语法树混淆)是标准术语 AST 混淆是指通过**修改 JavaScript 的抽象语法树结构**,使代码在语法结构上变得难以理解和分析,但保持其运行时行为不变。 ### AST 是什么? AST(Abstract Syntax Tree)是 JavaScript 源代码的结构化表示。例如: ```javascript function add(a, b) { return a + b; } ``` 在 AST 中,它会被表示为一个树形结构,包含函数声明、参数、返回语句、操作符等节点。 --- ## 🧠 AST 混淆的原理 AST 混淆工具会: 1. 解析原始代码为 AST。 2. 对 AST 进行变换,例如: - 将函数体拆分成多个表达式。 - 插入无意义的节点。 - 改变控制流结构(如将 `if` 转换为 `switch`)。 - 使用 `eval`、`new Function()` 动态执行代码。 3. 将变换后的 AST 重新生成 JavaScript 代码。 --- ## 🧪 AST 混淆示例 ### 原始代码: ```javascript function greet(name) { console.log("Hello, " + name); } ``` ### AST 混淆代码(模拟): ```javascript (function(_0x1234, _0x5678) { var _0x9abc = function(_0xdef) { while (--_0xdef) { _0x1234['push'](_0x1234['shift']()); } }; _0x9abc(++_0x5678); })(['log', 'Hello, '], 0x1f5); var _0xgreet = function(name) { console[_0x1234[0]](_0x1234[1] + name); }; _0xgreet('Alice'); ``` 在这个例子中: - 字符串被提取到数组中并加密。 - 使用了自执行函数来混淆变量作用域。 - 控制流被打乱。 - 函数结构被重构。 --- ## 🛠️ 支持 AST 混淆工具 | 工具名称 | 是否支持 AST 混淆 | 特点 | |----------|--------------------|------| | [JavaScript Obfuscator](https://obfuscator.io/) | ✅ | 支持 AST 变形、控制流混淆、字符串加密 | | [Babel + 自定义插件](https://babeljs.io/) | ✅ | 可以手动编写插件实现 AST 混淆 | | [AltJS](https://github.com/43081j/alt) | ✅ | AST 转换实验性工具 | | [Terser](https://terser.org/) | ❌(部分) | 主要用于压缩,不支持 AST 混淆 | | [JScrambler](https://jscrambler.com/) | ✅ | 商业工具,支持 AST 混淆和多态变异 | --- ## 🔍 总结对比 | 术语 | 含义 | 是否标准 | |------|------|-----------| | **AST 混淆** | 通过修改抽象语法树结构进行代码混淆 | ✅ 是标准术语 | | **ALT混淆** | 非标准术语,可能指代 AST 混淆或某些工具的输出风格 | ❌ 非标准术语 | --- ##
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值