逆向之JSVMP插桩分析手法

最近发现个JSVMP,如下图

上面执行流程是一条一条指令执行,代码是AST还原后的结果,一般都会进行一层混淆,并不能直接看到逻辑。

可以将VM看作一个黑盒子,在执行黑盒子代码时,包含两部分,一部分是外部逻辑,一部分是内部的黑盒子逻辑,例如黑盒子会调用很多外部算法,这时候我们可以对外部所有算法进行hook,输出日志。

这里的93f80bf318a862d...是入参的其中一个参数,在外部算法的输出日志中并没有,下面在黑盒子VM内部增加日志,打印VM的堆栈和指令序号。

然后输出日志

找到日志93f80bf318a862d第一次出现的地方,如上图。增加代码进行调试,在这个位置断住。

断住后,发现其实就是从cookie中获取的值。

本文只是提供一种思路,具体还得自己去实践调试。

纯技术交流,请勿用于非法用途,如有权益问题可以发私信联系我删除.

  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liberty888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值