WEB攻防-JS应用&反调试分析&代码混淆&AST加密还原&本地覆盖&断点条件

最新推荐文章于 2025-03-05 08:44:01 发布
最新推荐文章于 2025-03-05 08:44:01 发布
阅读量993 收藏 10
点赞数 14
分类专栏: # WEB安全 文章标签: JavaScript 反调试 代码混淆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/134703684
版权

#知识点:
1、JavaScript-反调试&方法&绕过
2、JavaScript-代码混淆&识别&还原

在这里插入图片描述

一、演示案例-JS逆向-反调试-检测&绕过

程序加入反调试:

1、反调试:

实现防止他人调试、动态分析自己的代码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(点击鼠标右键或者F12弹出提示)
https://www.aqistudy.cn/
在这里插入图片描述
在这里插入图片描述
多按几次F12倒是能打开开发者工具
在这里插入图片描述

2、检测调试方法:

在这里插入图片描述

-键盘监听(F12)

-检测浏览器的高度插值

在这里插入图片描述

-检测开发者人员工具(F12打开的就是这个开发者人员工具)变量是否为true

-利用console.log调用次数

-利用代码运行的时间差

–利用toString

-检测非浏览器

3、常见绕过方法:

-禁用断点法(屡试不爽,但是启用了之后自己打断点也不生效)

在这里插入图片描述
在这里插入图片描述

-条件断点法

在这里插入图片描述
在这里插入图片描述

-此处暂停法

在这里插入图片描述

-置空函数法

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

-本地覆盖法

在这里插入图片描述
多按几次F12倒是能打开开发者工具
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如何替换?
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、演示案例-JS逆向-混淆加密-识别&还原

代码混淆加密:
上述几种方法(检测调试方法),已经达到了反调试的效果,但如果他人查看代码,也可能被找出检测功能并删去。为了防止反调试功能被剔除,我们可以对JS代码进行混淆加密。

1、开源代码混淆解密(网上有些网站会使用到这些开源加密)

https://www.sojson.com/
在这里插入图片描述

AAEncode

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如何获取原始代码?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

JJEncode

在这里插入图片描述
在这里插入图片描述
如何获取原始代码?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

JSFuck

在这里插入图片描述
在这里插入图片描述
如何查看加密的源码呢?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、商业代码混淆解密

https://www.jsjiami.com/ //加密网站
在这里插入图片描述
有的js文件会进行加密,有的不会
在这里插入图片描述
在这里插入图片描述
如何解密还原?
前提:知道对方使用了什么加密
https://jsdec.js.org/ //解密网站
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1648
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
AST反混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.针对最新的https://obfuscator.io/混淆规则进行针对性处理 5.提升部分功能的兼容性 6.新增三元表达式转if-else功能,解决原版涉及的作用域问题 目前可处理2022-4-20当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
js混淆代码还原js混淆:利用js进行赋值实现
weixin_30537451的博客
12-14 514
早上需要修改一个js,发现被混淆了,有没有“源码”,网上也没有找到合适的工具进行反混淆,研究了一下,整理以下两种方式 【不想用工具的直接看方法二】 本文地址:http://www.cnblogs.com/vnii/archive/2011/12/14/2287504.html 方法一:利用IE开发人员工具(IE8开始已经自带,IE7以前需要下载安装IE Developer To...
反调试的绕过技术(断点技术) && 代码混淆 && 代码混淆代码还原
最新发布
2301_81155391的博客
03-05 1117
1、防止爬虫爬取数据(如vip网站就会不让你调用调试 反调试技术的目的大多数就是为了解决爬虫问题)2、防止逆向工程 : 这个是防止恶意根据前端的代码获取重要数据(如一些虚拟的货币接口api)3、防止 XSS :禁用调试可以防止恶意的对前端代码进行分析 从中插入恶意js代码 从而实现对用户cookie 的劫持4、防止篡改一下前端的验证 : 如支付等 从而实现0元购。
web程序防止恶意调试
qq_41093271的博客
08-31 334
1.如何简单的防止你的程序被他人恶意调试 2.逆向思维学会如何更好的调试 一、具体实现 防止调试的方法,这里我们主要是通过不断debugger的方法来疯狂输出断点,让控制台打开后程序就无法正常执行 我们都知道debugger只有在控制台被打开的时候才会执行,所以后面的所有方法都是围绕着这一特性来进行,废话不多说,我将通过以下几个案例向你们展示道高一尺魔高一丈的道理,先上代码: (() => { function block() { setInterval(() =&g.
爬虫 JavaScript 逆向进阶!利用 AST 技术还原混淆代码
静觅
05-08 4234
这是「进击的Coder」的第 617篇技术分享作者:K 小哥来源:K 哥爬虫“ 阅读本文大概需要 47分钟。 ”目录文章较长,可作为 AST Babel 入门手册,强烈建议收藏!什么是 ASTAST(Abstract Syntax Tree),中文抽象语法树,简称语法树(Syntax Tree),是源代码的抽象语法结构的树状表现形式,树上的每个节点都表示源代码中的一种...
js混淆还原
weixin_42156283的博客
02-29 7788
1.数组类混淆 现象:定义一个数组,然后js代码中用 [ ] 式访问数组成员 处理后:将数组内成员字符串替换到js中 # -*- coding: utf-8 -*- # 混淆js js = """ var arr = ["Date", "getTime"]; console.log(window[arr[0]]()[arr[1]]) """ import re # 1.正则匹配出列表 js...
猿人学web端爬虫攻防大赛赛题解析_第九题:js混淆-动态cookie2
仙路尽头谁为峰
06-27 3879
js混淆,动态cookie2一、前言二、加密逻辑初探三、加密逻辑深入分析四、代码实现4.1、ast解混淆的一个坑4.2、完整实现过程五、参考文献 一、前言 一转眼又有快两个星期没更博客了,主要是没想到第九题真的这么难,硬是让我死磕了快半个月,最终在参考其他大神的解题分享,才完全搞明白为啥自己始终算不对加密参数,还是吃了没文化的亏啊。总体来说这题坑不少,但也让我学到了不少新知识,死磕的过程中多少还有点收获。 二、加密逻辑初探 先看题目要求,这里是要求要找出所有的评论数量,按惯例还是先看看页面请求api的返回结
Python反反爬之JS混淆---源码乱码(详细教程)
Java_S12138的博客
12-25 1303
写在前面 很早之前在吾爱破解论坛上看见了【猿人学】Web端爬虫攻防大赛,当时进入他们官网的时候,比赛已经结束了。看着那些题目还挺有意思的,但由于各种原因一直没有机会去做那些题目。最近比较闲,就去把猿人学官网打开看了一下,尝试着完成了第一道题目—JS混淆[源码乱码],当然我也去看了两位大佬的讲解,一位是吾爱论坛的漁滒,另一位是B站的暗螟蛉 由于这是一篇迟到的教程,所有我写比较详细,希望对大家有所帮助 文章原链接https://syjun.vip/archives/278.html 题目 抓取所有(5页)机
[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
杨秀璋的专栏
09-01 3784
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。
JS混淆还原工具
07-05
JS混淆还原工具
技术分享:几种常见的JavaScript混淆和反混淆工具分析实战
热门推荐
兰亭古墨
04-20 4万+
信息安全常被描述成一场军备竞赛,白帽与黑帽,渗透测试者与黑客,善与恶,本文将聚焦这场永无止境决斗中的一个小点。HTML5 & JS 应用中充满着对输入进行验证/注入的问题,需要开发人员始终保持警惕。但同时还存在着另一个问题,就是应用中程序专用代码的易访问性。为了防止盗版或者至少使盗版更加困难,常会使用混淆工具对 JS 代码进行混淆。作为对立面,反混淆工具也可以将混淆过的 JS 代码进行还原...
js逆向-使用AST技术还原混淆代码
Deng872347348的博客
12-18 2142
js逆向-使用AST技术还原混淆代码
js混淆代码还原
Rezalt的博客
09-07 1万+
js混淆代码还原 - js混淆:利用js进行赋值实现  案例测试代码如下: eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,Strin...
DAY63WEB 攻防-JS 应用&算法逆向&三重断点调试&调用堆栈&BP 插件发包&安全结合
m0_74402888的博客
10-29 1297
失败的原因:js代码是运行在内存中的,首先内存肯定有这个函数的定义,但是调用失败,就说明没有变量,需要先创建变量才是使用函数。因为服务端接收到数据的时候会对该数据进行解密处理,如果用户提交的数据没有进行加密而是直接以明文方式传输给服务端,服务端在对这个明文进行解密操作得出来的就是一串乱码,无论用户密码是否正确肯定都会失败。/**********在这里编写调用加密函数进行加密代码************/备注:有的网站能用有的不能用,区别就在于HTML写的表单不一样导致),不推荐。
js混淆还原工具_js混淆代码还原js混淆:利用js进行赋值实现
weixin_39943750的博客
12-19 675
早上需要修改一个js,发现被混淆了,有没有“源码”,网上也没有找到合适的工具进行反混淆,研究了一下,整理以下两种方式【不想用工具的直接看方法二】方法一:利用IE开发人员工具(IE8开始已经自带,IE7以前需要下载安装IE Developer Toolbar)进行反混淆,本人常用Chrome,但是没有找到利用Chrome自带的开发人员工具去实现反混淆的方法。。。希望哪位园友知道告知。。。不罗嗦,直接...
JavaScript 混淆还原方法探讨
m0_57836225的博客
10-02 2021
JavaScript 开发中,为了保护代码的知识产权或增加代码的安全性,开发者可能会使用各种混淆技术。同时,在进行逆向工程或代码分析时,我们也需要了解如何还原这些混淆后的代码。本文将介绍几种常见的 JavaScript 混淆方式,并结合抽象语法树(AST)探讨相应的还原办法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值