技术分享:几种常见的JavaScript混淆和反混淆工具分析实战

最新推荐文章于 2024-03-23 10:17:07 发布
最新推荐文章于 2024-03-23 10:17:07 发布
阅读量3.8w 收藏 79
点赞数 8
分类专栏: Web安全

信息安全常被描述成一场军备竞赛,白帽与黑帽,渗透测试者与黑客,善与恶,本文将聚焦这场永无止境决斗中的一个小点。

HTML5 & JS 应用中充满着对输入进行验证/注入的问题,需要开发人员始终保持警惕。但同时还存在着另一个问题,就是应用中程序专用代码的易访问性。为了防止盗版或者至少使盗版更加困难,常会使用混淆工具对 JS 代码进行混淆。作为对立面,反混淆工具也可以将混淆过的 JS 代码进行还原。我曾经接触过双方的一些工具,下面是我的一些研究成果。

首先,下面这是我们的示例代码(取自Google Closure Compiler的 Wiki 页面)。一个完整的应用程序中代码会更加复杂,但这里足以用于实验了:

function displayNoteTitle(note) {
alert(note['title']);
}
var flowerNote = {};
flowerNote['title'] = "Flowers";
displayNoteTitle(flowerNote);

接下来,让我们来列举下要进行实验的混淆和反混淆工具,本文中会实验 4 个混淆工具和 2 个反混淆工具。

混淆工具:

反混淆工具:

以上除了 JScrambler 是商业软件需要付费使用外,其余全部为免费软件。

缩小和混淆

下面首先让我们看看混淆工具的混淆效果如何,随后在看看反混淆工具的表现又如何。

YUI Compressor

function displayNoteTitle(a){alert(a.title)}var flowerNote={};flowerNote.title="Flowers";displayNoteTitle(flowerNote);

Google Closure Compiler

这个工具有优化和混淆两种类型:

简单优化:
function displayNoteTitle(a){alert(a.title)}var flowerNote={title:"Flowers"};displayNoteTitle(flowerNote);
深度优化:
alert("Flowers");

UglifyJS

同前一个工具一样,UglifyJS 也有两种层次的混淆:

默认:
function displayNoteTitle(e){alert(e.title)}var flowerNote={};flowerNote.title="Flowers",displayNoteTitle(flowerNote);
高级:
function t(t){alert(t.title)}var e={};e.title="Flowers",t(e);

JScrambler

/* Obfuscate your JavaScript at https://jscrambler.com */var g5b={'S':"A",'A':function(b){flowerNote['title']=b;},'X':"V",'o':(function(E){return (function(s,p){return (function(G){return {K:G};})(function(m){var c,R=0;for(var U=s;R<m["length"];R++){var O=p(m,R);c=R===0?O:c^O;}return c?U:!U;});})((function(h,n,a,M){var y=28;return h(E,y)-M(n,a)>y;})(parseInt,Date,(function(n){return (''+n)["substring"](1,(n+'')["length"]-1);})('_getTime2'),function(n,a){return new n()[a]();}),function(m,R){var d=parseInt(m["charAt"](R),16)["toString"](2);return d["charAt"](d["length"]-1);});})('3lrno3f7c'),'e':'title','V':function(b){x=b;},'Q':"Flowers",};function displayNoteTitle(b){alert(b[g5b.e]);}var flowerNote=g5b.o.K("3d3")?{}:"Flowers";g5b[g5b.S](g5b.Q);displayNoteTitle(flowerNote);g5b[g5b.X](g5b.D);

那么,上面的代码是什么意思呢?显而易见,YUI Compressor,Google closure compiler 的简单优化模式和 UglifyJS 的默认模式都使用了相同的方法对 JS 代码进行缩小和混淆。缩小意味着压缩代码、减小应用程序的体积或者降低浏览器的加载时间。所有的这一切,在将变量名改为一个无意义的字符后,代码会变得难以阅读。

UglifyJS 的高级模式会进一步混淆函数名和全局变量的名称。Google closure compiler 的深度优化模式同时还会积极的删除无用代码,它追求最简。

而 JScrambler 则是另一种方式,它专注于对代码进行混淆,不仅不对代码进行缩小,反而通过增加代码数量使代码变的难以阅读。

美化和反混淆

jsbeautifier.org

正如其名字一样,这个在线工具试图将缩小后的代码变的更加具有可读性,但似乎它不会对代码进行进一步的反混淆。

YUI Compressor -> jsbeautified

function displayNoteTitle(e) {
    alert(e.title)
}
var flowerNote = {};
flowerNote.title = "Flowers", displayNoteTitle(flowerNote);

UglifyJS Toplevel -> jsbeautified:

function t(t) {
    alert(t.title)
}
var e = {};
e.title = "Flowers", t(e);

JSDetox

对 UglifyJS 高级模式的代码使用 JSDetox 似乎并不比 jsbeautifier.org 好多少,这点可以理解的,毕竟对变量/函数名进行转换这是不可逆的过程。

高级的反混淆和恶意代码检测

一般的代码混淆常用于知识产权保护,而高级的代码混淆则常会被用于隐藏 WEB 应用中的恶意代码。对恶意代码进行混淆是为了躲避杀毒软件的检测,这些代码在被混淆扩充后会难以被识别为恶意软件。Metasploit 的 Javascript 混淆器常被用于开发恶意代码,所以我们下面使用 Metasploit 的混淆器对我们的代码进行混淆(参考文档)。JSDetox 声称其具有进行反混淆 JS 代码的能力,所以下面让我们来尝试下对 Metasploit 和 JScrambler 混淆后的代码进行高级的反混淆。

Metasploit Javascript 混淆器

function L(t){window[String.fromCharCode(0141,0x6c,101,0162,0164)](t[String.fromCharCode(0164,105,0164,108,0145)]);}var C={};C[(function () { var K='le',Z='tit'; return Z+K })()]=(function () { var m="s",D="r",J="F",e="lowe"; return J+e+D+m })();L(C);

使用 JSDetox 进行反混淆

JScrambler -> JSDetoxed

var g5b = {
  'S': "A",
  'A': function(b) {
    flowerNote['title'] = b;
  },
  'X': "V",
  'o': (function(E) {
    return (function(s, p) {
      return (function(G) {
        return {
          K: G
};
      })(function(m) {
        var c, R = 0;
        for(var U = s; R < m["length"]; R++) {
          var O = p(m, R);
          c = R === 0 ? O : c ^ O;
        }
        return c ? U : !U;
      });
    })((function(h, n, a, M) {
      return h(E, 28) - M(n, a) > 28;
    })(parseInt, Date, (function(n) {
      return ('' + n)["substring"](1, (n + '')["length"] - 1);
    })('_getTime2'), function(n, a) {
      return new n()[a]();
    }), function(m, R) {
      var d = parseInt(m["charAt"](R), 16)["toString"](2);
      return d["charAt"](d["length"] - 1);
    });
  })('3lrno3f7c'),
  'e': 'title',
  'V': function(b) {
    x = b;
  },
  'Q': "Flowers"
};
function displayNoteTitle(b){
  alert(b[g5b.e]);
}
var flowerNote = g5b.o.K("3d3") ? { } : "Flowers";
g5b[g5b.S](g5b.Q);
displayNoteTitle(flowerNote);
g5b[g5b.X](g5b.D);

Metasploit -> JSDetoxed

function L(t){
  window["alert"](t["title"]);
}
var C = { };
C["title"] = "Flowers";
L(C);

尽管经过 Metasploit 混淆后的 JS 代码依旧可以躲避杀毒软件,但看起来也会轻易被 JSDetox 进行反混淆。有趣的是,看起来 JSDetox 无法反混淆 JScrambled 的代码。我不确定为什么 JSDetox 可以反混淆出 metasploit 的代码却不能反混淆出 JScrambler 的,不过我猜测是 JSDetox 专门针对 metasploit 的混淆方法做过专门的支持。另一方面,JScrambler 完全是一个黑盒,但这并不意味着 JScrambled 混淆后的 Javascript 代码不能被反混淆,也许有另一个工具专门用于或包含反混淆 JScrambled 代码功能。

*原文:damilarefagbemi,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)

兰亭古墨
关注
  • 8
    点赞
  • 79
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端js代码多文件混淆
qq_40358970的博客
01-21 3856
前端js代码混淆 对于前端开发中的代码安全性一直是一个不可忽视的问题,前段时间公司就要求我们把我们小程序端的代码再进行混淆。看了很多网址,说的不是很明白,因此也就出了这篇文章和大家分享。 1:首先分享一下一个插件链接:https://github.com/javascript-obfuscator/javascript-obfuscator。 我用的就是这个javascript-obfuscator插件,这个插件使用教程是对单个文件进行混淆加密。 2:相对的插件工具链接:https://www.obfusc
混淆神器CyberChef-v9.49加密解密工具下载
12-17
CyberChef是一款新型的开源的分析和解密数据工具,用于在 Web 浏览器中执行各种“网络”操作。 这些操作包括创建hexdumps、简单编码(如XOR或Base64)、复杂加密(如AES,DES和Blowfish)、数据压缩和解压缩、计算哈希和校验和、IPv6和X.509解析等等。
JS混淆-AST还原案例
十一姐的博客
03-12 1万+
目录一、js混淆了解1、为什么要混淆?2、常见混淆模样二、AST初步认识三、解混淆常用的方法 一、js混淆了解 1、为什么要混淆js混淆的作用:为了防止爬虫通过分析js内容,轻易的还原出网站的加密逻辑,而做出的安全防御手段之一,常常将一个逻辑简单的可能十几行算法代码思路,通过变量混淆替换、增加冗余无效代码、增加无限debugger调试功能、增加多层的套娃式if~else代码、以及埋陷阱等混淆成几千行的js代码,给人第一印象难读,对入门分析者造成恐惧心理 如图,我们常见的ob混淆就是这个原理,左侧也
akamai混淆思路
最新发布
qq_41283696的博客
03-23 751
Akamai代码混淆的不是特别厉害,有些人选择硬刚也能分析出来,但是我认为混淆后的代码比较方便阅读,特别是对新接触爬虫的人来说,理解起来快。不过这种方法也不是所有这种函数都能替换,因为是在运行的时候收集到的value,所以那些没有运行到的地方都不能被收集,也就无法替换。接下来就是干控制流内这种常量了,这种常量需要保证第一步的处理没有问题,然后运行起来代码,剩下思路就和第一步处理常量一样。类似这种常量是首先要处理的也是最好处理的,直接用ast eval执行初始化函数然后,替换代码中常量引用就好了。
js vue 前端代码混淆webpack-obfuscator
qq_34200636的博客
04-11 1949
js vue 前端代码混淆webpack-obfuscator
js】从0开始工程化项目、webpack打包混淆js代码
kinghzking的专栏
06-29 1421
公司代码提供给第三方使用,为了安全不泄露源码,需要对给出的代码进行加密混淆前端代码虽然无法做到完全加密混淆,但是通过使用 webpack-obfuscator 通过增加随机废代码段、字符编码转义等方法可以使构建代码完全混淆,达到无法恢复源码甚至无法阅读的目的。因工作需要,经常写写短小精悍的js,然后再去掉注释,混淆,再加密,麻烦的很。从最初的需求来看,为了可以实现模块化,同时帮忙打包、混淆代码。目录结果按照习惯编写就行,下面是小编的目录,仅供参考。,这时候需要不断尝试修正,或者将相关代码排除出去。
JS逆向---令人抓狂的JavaScript混淆技术
m0_52336378的博客
08-16 3498
JavaScript 压缩、混淆和加密技术JavaScript 代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript 代码是公开透明的,也就是说浏览器可以直接获取到正在运行的 JavaScript 的源码。声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
AST混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
在线一键JS混淆还原
mxd01848的博客
02-17 7140
字符串混淆是一种将字符串中的字符替换为其他字符的混淆技术。例如,将字符串“hello world”中的字符“h”替换为“5”,将字符“e”替换为“3”,以此类推。下面,我们将介绍一些常见混淆技术和如何使用JSJiaMi进行混淆和解密。函数和变量名混淆是一种将函数和变量名替换为随机字符串的混淆技术。例如,将函数名“hello”替换为“a1b2c3”,将变量名“world”替换为“d4e5f6”。这使得代码难以理解和修改。这段代码使用了常见的函数和变量名,如“helloWorld”、“x”、“y”和“i”。
基于AST的babel库实现js混淆还原基础案例荟萃
热门推荐
小小明-代码实体的专栏
02-03 2万+
一个菜鸟的倔强,学习js混淆的入门笔记
js混淆还原
weixin_42156283的博客
02-29 7448
1.数组类混淆 现象:定义一个数组,然后js代码中用 [ ] 式访问数组成员 处理后:将数组内成员字符串替换到js中 # -*- coding: utf-8 -*- # 混淆js js = """ var arr = ["Date", "getTime"]; console.log(window[arr[0]]()[arr[1]]) """ import re # 1.正则匹配出列表 js...
JS 混淆
lacoucou的专栏
04-10 1万+
在使用某插件的过程中,大量个性化需求不能满足,于是我有了更改源码的冲动。翻遍所有角落,只找了一份压缩混淆js 文件,能否混淆,这是本节讨论的重点。 一、场景复现 先来说说几种我们迫切需要知道源码的情况: 1.阅读源码,当然,大部分开源的代码都是可以直接查看的; 2.对某插件做个性化的需求更改,这时候你渴望看到未混淆压缩的代码; 3.为了增加代码分析的难度,混淆(obfuscate)工具被...
AST混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.针对最新的https://obfuscator.io/混淆规则进行针对性处理 5.提升部分功能的兼容性 6.新增三元表达式转if-else功能,解决原版涉及的作用域问题 目前可处理2022-4-20当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
de4js:JavaScript混淆器和解包器
05-12
de4js JavaScript混淆器和解包器 帮手 默认情况下,“不可读”选项被禁用,因为它使用了数据。 使用JavaScript无法做到这一点。 您需要安装UserScript 才能启用它。 安装以下链接之一: * de4js helper不能离线工作。 特征 脱机工作。 源代码美化器/语法突出显示器。 使混淆代码。 性能解包器: Eval ,例如Packer,WiseLoop Array ,例如Javascript Obfuscator,免费JS Obfuscator (名称不正确) (但不是所有情况) URL编码,例如书签 JSFuck JJencode AAencode 怀斯卢普 使用Docker运行 docker-compose up 在Web浏览器中的http:// localhost:4000 / de4js /上预览de4js 贴上外
java混淆编译套餐工具.zip
05-21
可以先使用 proguard来混淆加密,然后再使用 jd-gui看看加密是否成功,正常情况下被混淆加密之后的jar包,无法再被编译出来看到。 ===> 注意不要有中文名称文件夹。
AST混淆js还原工具2.2(20230203)
02-03
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.混淆后尽量接近源码的可读性 介绍 1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.修复已知bug,增加功能与兼容性
几款极品的javascript压缩混淆工具
10-30
几款极品的javascript压缩混淆工具
unpacker:一个解包或混淆JavaScript 工具,Matthewfl 的算法
06-22
解包器JS 一个解包或混淆JavaScript 工具,Matthewfl 的算法。 演示: :
synchrony:javascript-obfuscator清洁剂和混淆
05-28
同步性javascript清洁剂和混淆器(主要是 / )用法 # 1. Install deobfuscator globally using yarn/npmyarn global add deobfuscator # OR npm install --global deobfuscator# 2. Get an obfuscated file# 3. ...
js混淆压缩 工具
07-26
### 回答1: JS混淆压缩工具是一种用于还原经过混淆压缩处理的JavaScript代码工具JavaScript代码经过混淆压缩处理后,变量名、函数名和代码结构都被改变,使得代码变得难以阅读和理解。 混淆是指通过逆向工程的方法,还原被混淆处理的代码。这样可以使开发人员更容易理解代码逻辑和修改代码,也有助于安全研究人员分析代码漏洞。 压缩是指将经过压缩处理的代码还原为可读性更好的形式。在代码压缩过程中,会删除空格、缩进、注释等,同时对代码进行重写以减少文件大小。压缩工具可以还原代码结构,使之恢复为可读性更好的形式。 JS混淆压缩工具一般通过解析和重构混淆压缩后的代码来实现。它们可以自动还原变量名、函数名,修复语法错误,还原代码结构,保留注释等。常见混淆压缩工具有UglifyJS、Terser、Babel等。 但是需要注意的是,即使使用了混淆压缩工具,完全还原出原始代码可能是不太可能的。因为混淆压缩过程中可能还进行了其他特殊处理,如删除无用代码代码优化等。此外,混淆压缩工具只适用于用于学习和分析代码,不应用于非法用途,以保护代码作者的合法权益。 ### 回答2: JS混淆压缩工具是一种用于还原经过混淆和压缩处理的JavaScript代码工具。由于混淆和压缩会使代码变得难以阅读和理解,而且容易隐藏恶意代码,因此混淆压缩工具对于安全性和代码维护性非常重要。 JS混淆工具的主要功能是将经过混淆处理的代码还原为易读的形式。它可以根据一些特定的识别规则,识别和还原变量名、函数名等混淆后的标识符。通过混淆,我们可以更容易地理解代码的逻辑和结构,提高代码的可维护性和可读性。 JS压缩工具的主要功能是将经过压缩处理的代码还原为格式化的形式。它可以自动添加换行、缩进和空格等,使得代码更易于阅读和编辑。压缩可以帮助开发人员更方便地调试和修改代码,提高开发效率。 目前,有许多JS混淆压缩工具可供使用。一些流行的工具包括:UglifyJS、Terser、JSNice等。这些工具具有各自的特点和功能,可以根据具体需求选择合适的工具使用。 总之,JS混淆压缩工具对于提高代码安全性、可读性和可维护性具有重要作用。通过使用这些工具,开发人员可以更方便地理解、调试和修改代码,从而提高开发效率和代码质量。 ### 回答3: JS混淆压缩是用于还原经过混淆和压缩的Javascript代码工具混淆和压缩是为了减小代码体积和加强代码防护而进行的操作,但也给代码的阅读和理解带来了困难。 JS混淆工具主要通过对混淆后的变量、函数名、属性名进行逆向推算,还原出其原有的可读性较高的标识符。这种工具一般基于静态分析和语义分析技术,通过模式匹配、代码分析和控制流分析等方法,逆推原始代码的标识符,从而提高代码的可读性。 JS压缩工具主要是针对通过压缩工具代码进行了无损压缩的情况,还原出原始的格式和布局。这种工具通过识别特定的压缩技术(如代码变量替换、代码优化、多行合并等),并对其进行向操作,还原出原始的代码结构和格式。 总之,JS混淆压缩工具的目的是为了提高代码的可读性和可维护性,方便开发人员阅读和理解代码,同时也有助于代码审计和漏洞发现。但需要注意的是,使用这些工具应遵守相关法律法规,不用于非法用途,以保护代码的合法性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值