前一段时间参加猿人学js比赛,今天把第二题的还原做一下笔记。
分析代码
首先,我们需要对混淆js代码进行分析,确定还原的思路,才能书写解混淆代码进行还原。代码是静态的,不会变的,我们去网站上将混淆代码拿下来看看:
可以看到,混淆的js代码有三万多行,从一些特征看来是类ob混淆的代码。包含大数组,移位函数等等特征;
其次,混淆代码内部有一些大对象和switch控制流代码:
对象内部含有很多属性,在混淆代码中,对象属性值(字符串和函数)被使用。
到此为止,混淆代码的特征基本上就分析完了。下面就是要还原代码了。
解混淆代码
首先,将大数组内的数据进行还原,这里需要先找到解密函数是哪个?通过分析发现_0xf75e函数是解密函数:
通过分析代码,我们可以发现,该解密函数并没有直接被调用。而是在别的函数内部被调用,同时存在多层调用。
在混淆代码内部,实际被调用的代码如下;那么,我们想要还原大数组,也就需要拿到这些函数;拿到这些函数之后,我们就可以对大数组进行还原了
这里还原后,效果如下:
可以看到函数调用已经被还原为字符串了。
那么接下来,我们可以先处理一下以下代码:对其进行计算,得到结果。
"1|2|0|3|4|" + "6|5"
3235 + -1 * -6197 + -9432
接下来,通过分析代码,我们可以发现代码中存在大量关于对象属性的使用:
这里我们需要对其还原,通过观察对象,我们可以发现,对象属性里包含字符串和函数两种值:
这里字符串我们可以直接将其还原,函数调用我们需要判断其具体的类型,做进一步处理:还原后部分带代码如下,:
最后,就需要处理switch语句了:
通过观察代码,我们可以发现,switch语句在一个循环内部,同时根据_0x726bea[_0x370538++]进行条件分支选择,那么我们就可以拿到其遍历的值的顺序,将switch语句进行改写:
还原后结果如下:
到此,基本上已经还原的差不多了,此时再去分析js代码,找到加密参数位置就是轻而易举了。
直接搜索关键字即可;加密关键位置如下:
到这里,再去扣代码就很简单了,这里就不说了。里面有一些小检测,过掉即可。
结果
最后展示一下用python代码请求拿到的结果:
本文完整分析就到这里。完整AST代码就不放在这里了,有需要的请联系我。
如果你有需要解混淆的代码,也可以联系我。
3410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
