瑞数vmp-代码格式化后无法正常运行原因分析

原创 已于 2024-01-04 14:00:33 修改 · 943 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #node.js

于 2024-01-04 13:59:32 首次发布

在逆向开发过程中,我们常常会修改网页源码来调试和跟踪数据流与运行流,那么首先要做的就是将源码格式化,但是当我们逆向瑞数加密的网站时,如果直接格式化源码,运行后就会陷入无限循环,代码不格式化非常影响我们做逆向工作,那么这里博主分析下原因即处理这个无法格式化的问题。

我们找到一个瑞数加密的网站,并获得入口js文件

然后使用浏览器替换,重新打开网站,程序进入无限循环,页面无法显示出来。

静态代码格式化

源码分析

通过比对动态生成的代码,可以确定格式化与否生成的动态代码一致。

既然动态代码一致,那是不是与window.$_ts变量有关呢,通过对比发现如果格式化后window.$_ts.jf的值是true,如果改成false则无限循环问题不会出现,因此可以确认代码格式化后无法运行的原因就是window.$_ts.jf的值导致的。

定位代码

通过插桩方式确认window.$ts.jf的赋值过程,找到正则匹配代码:_$ht.test(_$_q)

其中_$_q的值为"function _$dG(){return'\\x74\\x6f\\x53\\x74\\x72\\x69\\x6e\\x67';}",可以直接在js文件搜索到,搜索字符串:function _$dG(){return'\x74\x6f\x53\x74\x72\x69\x6e\x67';}

_$ht的值为/\S+\(\){\S+['|"].+['|"];}/

如果把源码格式化后_$_q的值为"function _$dG() {\n return '\\x74\\x6f\\x53\\x74\\x72\\x69\\x6e\\x67';\n }"

分析正则串

正则串/\S+\(\){\S+['|"].+['|"];}/的解释如下:

  1. /: 正则表达式的开始。
  2. \S+: 匹配一个或多个非空白字符。这部分表示一个函数名或标识符。
  3. \(: 匹配左括号(
  4. \): 匹配右括号)
  5. {: 匹配左花括号{
  6. \S+: 再次匹配一个或多个非空白字符。这部分可能表示函数体的起始部分。
  7. ['|"]: 匹配一个单引号'或双引号"
  8. .+: 匹配一个或多个任意字符。
  9. ['|"]: 再次匹配一个单引号' 或双引号"
  10. ;: 匹配分号;
  11. }: 匹配右花括号}
  12. /: 正则表达式的结束。

可以看到2和6都是匹配非空白字符,且){中间是没有空格的,因此只要格式化了就肯定过不了这个正则判断。

然后这个正则串可以在代码中找到:_$ht = new RegExp('\x5c\x53\x2b\x5c\x28\x5c\x29\x7b\x5c\x53\x2b\x5b\x27\x7c\x22\x5d\x2e\x2b\x5b\x27\x7c\x22\x5d\x3b\x7d');'\x5c\x53\x2b\x5c\x28\x5c\x29\x7b\x5c\x53\x2b\x5b\x27\x7c\x22\x5d\x2e\x2b\x5b\x27\x7c\x22\x5d\x3b\x7d'"\S+\(\){\S+['|"].+['|"];}"的ascii码的16进制显示

分析函数字符

函数字符比较简单,返回的字符串'\x74\x6f\x53\x74\x72\x69\x6e\x67'是16进制的ascii码值,解码后就是字符串toString,或者直接运行_$dG()也会返回toString这个字符串,为啥是这么字符串,博主盲猜应该是为了混淆逆向开发者,因为我们要把函数转换为字符串就可以运行代码$dG[$dG()](),这样看起来确实有点混淆的感觉,不管调试时鼠标滑在变量上或者运行代码返回的值都是一致的,哈哈哈

动态代码格式化

瑞数的核心代码是动态生成的,也是加入了格式化检测,如果做代码分析,代码格式化会减少我们的逆向复杂度,与外层代码格式化检测不同,动态代码格式化检测是检测的入口函数,入口函数长这样(由于代码是动态生成的,因此直接搜索这个方法是搜不到的);

function _$$I() {
  var _$$I, _$ft, _$_0, _$iv, _$j7, _$kb;
  if (_$f1._$gS) _$ft = _$bS._$et(), _$$I = _$bS._$et(), _$ft[1] = _$cR[1], _$ft[3] = _$cR[3];else {
    _$ft = [], _$$I = new _$at(_$f1._$ic), _$ft[1] = _$cR[1].concat([arguments]), _$ft[3] = _$cR[3].concat([_$$I]), _$_0 = _$f1._$j8;
    for (_$iv = 2; _$iv < _$_0.length; _$iv++) _$$I[_$iv] = _$_w(_$_0[_$iv], _$ft);
  }
  _$ft[0] = arguments, _$ft[2] = _$$I, _$$I[0] = this, _$$I[1] = arguments, _$f1._$$j.charCodeAt ? _$f1._$$j = _$eu(_$f1._$$j) : 0, _$bl(_$f1, 0, _$f1._$$j.length, _$ft), _$j7 = _$ft[4], _$kb = _$ft[5], _$f1._$gS ? (_$bS._$gt(_$ft), _$bS._$gt(_$$I)) : 0;
  if (_$j7 === 1) return _$kb;
}

然后通过正则语句/function \S+?\(\){\S+/.test(_$$I.toString())进行匹配,匹配结果为true则正常执行,为false则进入死循环。

这个正则语句匹配的函数代码前部分如:function _$$I(){var...

因此我们只要找到入口函数并将格式化的入口函数的函数头还原就可以通过格式化检测了

总结

最后总结下,对于外部代码,如果要格式化后代码能正常运行,那我们就要在格式化后搜索_$dG方法的代码,将这个方法还原成没有格式化的代码,即function _$dG(){return'\x74\x6f\x53\x74\x72\x69\x6e\x67';}

对于动态代码,首先要找到入口函数,再将入口函数的代码首部改成function 方法名(){代码

两处都修改完后就可以使用格式化后的代码调试开发了,关于格式化代码,中间操作不建议通过复制黏贴方式完成,可能会让二进制数据丢失或者二进制数据并被转化为字符串字面量造成程序运行异常,可以使用babel工具进行处理!

扩展

字符转16进制ascii码:'S'.charCodeAt().toString(16) === '53'

16进制ascii码转字符:String.fromCharCode(parseInt('53', 16)) === 'S'

花庭
关注
jsvmp算法还原流程讲解
博客
10-08 6305
​ 又是很久没写文章了,今天水一篇文章吧,鉴于之前有看到过别人的文章被警告的案例,所以这篇文章就仅写一下还原vmp的大概流程吧(仅记录下自己还原的思路)
js逆向思路-区分是否有反爬/属于哪个版本vmp/3/4/5/6代
十一姐的博客
07-16 6115
3/4/5/6代/vmp版本的网站特征举例区分,以及2022年7月份遇到vmp反爬的网站的经验之谈
某标局最新6vmp破解分析
weixin_52001594的博客
04-01 2560
关于有人问到的指纹相关问题,在这里做一个统一回复,他sha1的算法,他🐮他还原出来你传了啥阿,你就往里塞,你就把三国演义全文塞进去他也得给你过!对于vmp来说,最常见的方法无非就是日志断点了,在日志中检测一下,找一下关注的值,然后进行算法还原即可。有效控制流是指在vm中对结果的生成值产生改变的控制流,而不是环境校验等,熟悉的202页面与一个js文件在这一步可以做一个文件替换,防止后面调试的时候文件变化。当后缀中有据的时候值变更为1048627。第二步,打下脚本断点,跟进js文件中。
vmp_decoder
02-05
vmp_decoder
JS 补环境框架之vmp全部通杀
bluedream21str的博客
04-07 1959
全新版本的js补环境框架,以chorme114版本为基准补全了所有的方法,实现各类DOM操作和简单的CSS解析,过环境检测绰绰有余,最新开发了过vmp的api,可仅需要post的网址即可获取到对应的cookie值,大大降低了开发的门槛,提高开发效率。需要的朋友随时交流: qq215871581。
爬虫漫游指南:的反调试陷阱
热门推荐
shayuchaor的博客
12-20 1万+
遇上有反爬的网站,第一反应肯定是要先打开开发者工具调试一波,于是,反爬工程师们就在此处设下了第一道防线。初级一点的,例如监听F12,禁用鼠标右键,作为防线的一部分,这些小伎俩顶多就算个路障吧,成不了气候。真正能够搭建防御工事,形成火力网,还得靠debugger。
456vmp逆向分析-某监局
weixin_44697518的博客
04-23 1029
我开了个知识星球,把本期的成品已放到了里面,有需要的小伙伴可以自行去取,jd的参,阿里bxet纯算、快手滑块,Pdd—Anti,ikuai,b站login之-极验3文字,某音ab,456vmp补环境等等,主要是某些大佬加我问成品,很多人都打着白嫖的手段去加我好友为目的,问完基本就以后没有任何的交集,这样的交好友雀氏没有任何意义。不如我直接开个星球,里面直接放我逆向的成品以及逆向的思路,这样大家各取所需,我也有点收益,意义更明确点,免得浪费大家的时间。进入控制流switch-case结构。
6 --- 某科技馆补环境
最新发布
2302_76420666的博客
07-05 576
主要讲解记录了rs6的逆向过程
精选资源
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
vmp js逆向 (补环境)
活捉一只小菜鸟的博客
08-18 8398
vmp js逆向补环境
,rs,rsvmp,逆向,逆向,反爬虫,website reverse engineering.zip
01-20
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取据并存储,以便后续分析或展示。爬虫通常由搜索引擎、据挖掘工具、监测系统等应用于网络据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL可以通过链接分析、站点地图、搜索引擎等方式获取。 请求网页: 爬虫使用HTTP或其他协议向目标URL发起请求,获取网页的HTML内容。这通常通过HTTP请求库实现,如Python中的Requests库。 解析内容: 爬虫对获取的HTML进行解析,提取有用的信息。常用的解析工具有正则表达式、XPath、Beautiful Soup等。这些工具帮助爬虫定位和提取目标据,如文本、图片、链接等。 据存储: 爬虫将提取的据存储到据库、文件或其他存储介质中,以备后续分析或展示。常用的存储形式包括关系型据库、NoSQL据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫需要遵守网站的robots.txt协议,限制访问频率和深度,并模拟人类访问行为,如设置User-Agent。 反爬虫应对: 由于爬虫的存在,一些网站采取了反爬虫措施,如验证码、IP封锁等。爬虫工程师需要设计相应的策略来应对这些挑战。 爬虫在各个领域都有广泛的应用,包括搜索引擎索引、据挖掘、价格监测、新闻聚合等。然而,使用爬虫需要遵守法律和伦理规范,尊重网站的使用政策,并确保对被访问网站的服务器负责。
逆向分析之VMP
liberty888的博客
09-23 2549
逆向分析之VMP
6代vmp算法还原流程笔记,406位的cookie及请求后缀
qq_38977435的博客
11-07 8231
*本文主要提供思路和流程,不提供代码**
VMP】浅谈某普期刊JS逆向的环境检测点
weixin_44862184的博客
06-18 5358
某普前段时间更新了新版本的。不过去年的垃圾代码跑不通,但是又有需求的情况下就插桩打印分析了下。简单聊下几个检测点以及补环境应对办法。
VMP 版逆向之补环境详解
qq_38223858的博客
01-09 5199
本文章主要对案例网站的VMP版本逆向做一个讲解。
爬虫破解js逆向动态混淆
qq_43704986的博客
08-13 9067
巧用selenium破解js逆向 实战站点:湖北省生态环境厅:http://sthjt.hubei.gov.cn/site/sthjt/search.html?searchWord=%E7%A2%B3%E6%8E%92%E6%94%BE&siteId=41&pageSize=10 前言:爬虫界的一座大山,信息,看了网上的资料就算硬破也得搭建简易的文本服务. 不过再难,他都有解决方案,就是通过selenium+js逆向过程中的一些有用信息。 # -*- coding: utf-8 -*
最新6VMP补环境破解流程(202240607)
qq_35518798的博客
06-07 3456
1、从412页面拿到content和ts代码块和外链js(注意一定不要格式化代码6有检测js格式),放入js文件内;2、执行js文件,根据报错提示信息补全window、location、document等;3、补全环境后,查看cookie生成长度,大于250的长度基本上算补全成功;4、使用补全环境后的cookie,若返回412和400说明环境有误需重新补。
rs vmp 补充后缀, 秒了~
L1416279170的博客
05-17 1442
本篇文字灰常简短,因为很简单,主要是想科普一下,今天又是星期五,上一篇文章潦草结束了就想来更新这一篇文章,因为最近很多人问到后缀的问题,这里统一讲解一下。因为现在百分之90的网站都不需要加密的后缀拿去请求,只需要明文即可,下面就是 教程,请各位大佬接好。
VMP6代检测点之一
liberty888的博客
11-10 948
VMP6代检测点
vmp
06-11
### VMP 功能、配置与使用方法 VMP(Virtual Machine Protection)是一种虚拟机保护技术,通常用于防止代码被逆向工程或篡改。它通过将关键逻辑封装在虚拟机中运行,使得攻击者难以理解或修改程序的行为。以下是关于 VMP 的功能、配置与使用方法的详细介绍。 #### 功能概述 VMP 的核心功能在于提供高级别的代码保护[^1]。其主要特点包括: - **代码虚拟化**:将敏感代码片段转换为专有的虚拟机指令集,从而避免直接暴露原始代码逻辑。 - **动态混淆**:对代码进行动态变换,每次运行时生成不同的字节码,增加逆向分析的难度[^3]。 - **完整性校验**:检测程序是否被非法修改或注入恶意代码,并在检测到异常时采取防护措施。 #### 配置指南 虽然 sdenv 项目未明确指出具体的配置文件名,但根据开源项目的常见实践, VMP 的配置可能位于以下位置[^1]: - **配置文件路径**:通常在项目的根目录下或特定子目录(如 `config/`),可能命名为 `config.ini` 或 `settings.yaml`。 - **环境变量**:某些情况下,VMP 的行为可以通过环境变量进行调整。例如,设置 `VMP_PROTECTION_LEVEL` 来控制保护强度。 - **默认参**:如果项目未提供预定义的配置文件,用户可以参考 `env_manager.py` 中的默认参来间接理解配置方式。 #### 使用方法 使用 VMP 通常需要以下几个步骤: 1. **安装依赖**:确保安装了必要的库和工具。例如,若项目基于 Python,可以使用 `pip` 安装相关依赖[^2]。 ```bash pip install sdenv ``` 2. **初始化环境**:激活虚拟环境并加载 VMP 模块。 ```python import sdenv sdenv.init_vmp() ``` 3. **配置保护规则**:根据需求自定义保护策略。例如,指定哪些函或模块需要进行虚拟化处理。 ```python vmp_config = { "protection_level": "high", "target_functions": ["process_data", "validate_user"] } sdenv.apply_vmp(vmp_config) ``` #### 注意事项 - **性能影响**:启用 VMP 可能会导致程序运行速度下降,因此需要在安全性与性能之间找到平衡点[^1]。 - **兼容性测试**:在实际部署前,建议对受保护的代码进行全面测试,以确保功能正常[^2]。 ```python # 示例:应用 VMP 并测试性能 import time import sdenv def process_data(): # 模拟据处理逻辑 return "Processed Data" vmp_config = {"protection_level": "medium"} sdenv.apply_vmp(vmp_config) start_time = time.time() result = process_data() end_time = time.time() print(f"Result: {result}, Time taken: {end_time - start_time:.4f} seconds") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值