JS逆向学习笔记(一)-浏览器开发工具常用技巧

已于 2024-02-19 14:23:17 修改
阅读量1.2k 收藏 14
点赞数 15
分类专栏: JS逆向 文章标签: 学习 python 网络爬虫
于 2024-02-18 15:11:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64560180/article/details/136141878
版权

一.写在前面

        最近在自学一些python爬虫的内容,学到现在对爬虫的原理和大致流程都有了一定的了解,也能够独立编写一些简单的爬虫程序,但是事实上这些都没有涉及到破解加密的部分,也就是说你爬的不过是别人完全不阻挡你爬的东西,顶多也就限制一下你的爬取速度啊数量之类的,碰到某些有加密参数的,就基本上没有办法了,你有再多加快爬虫速度的办法,但是拿不到资源又有什么用呢?所以我必须要学一些新的东西,于是我了解到了一个新的的东西JS逆向,所谓JS逆向,意思就是分析JS代码的执行过程以此来达到破解加密参数的过程,因为JS代码是透明的,放在客户端上运行的,所以那些加密的参数也应当在客户端上就完成了,所以想要爬虫获取这些资源,JS逆向就变得尤为重要了。

二.浏览器开发者工具常用技巧

        浏览器开发者工具是自带的一个非常强大的工具,它不仅能够拦截网络请求,帮助我们找到对应的url,对于JS逆向分析,也是一个重要的工具,下面就谈谈它的常用功能和技巧。

1.断点调试

        像这样,我们在JS代码的左侧打上一个断点,这样网页再次运行的时候就会卡在我们加的断点的地方。右边有个作用域面板可以看到各个变量或方法的情况,你也可以把鼠标悬停在代码的某个具体变量或方法上,也会显示。断点面板里面就是你刚才添加的断点,可以在那里取消断点,也可以再点一次这个红点取消。

        右边还有个比较重要的面板叫调用堆栈,如下图:

它能够显示是怎么一步一步调用到当前的方法的,箭头所指就是当前方法位置,点击其他任意一个能够跳到对应方法处。有时候我们能够靠这个一步一步向上顺藤摸瓜,找到关键的加密的方法。

右边还有几个重要的调试按钮:

第一个是恢复脚本的执行,也可以跳到下一个断点处。第二个的意思是运行下一条指令,但是不会进入函数,也就是说,如果下一条指令会进入函数的话,它就会直接将这个函数执行完,然后来到下一条不是函数的指令。第三个叫执行下一条指令,但是它是会进入到函数,一步一步运行的。第四个是跳出当前函数,比如你调试到了一个函数内部,但是这个函数不是关键,那么你就可以按这个,它就会跳出去。右边还有一个我没有圈出来的按钮,它的功能和第三个按钮基本一致,只有在异步的时候有一点区别,它也是一步一步执行的。

        除了刚才上面提到的最基本的断点,其实还有两种非常重要的断点-日志断点和条件断点

先说说日志断点吧。我们以抖音为例。

我们在这里添加一个日志断点,有的地方叫法不一样,我的edge里面叫添加记录点。

然后可以输入一些变量啊,方法之类的东西,日志断点能够帮助我们输出这些东西,这样我们就可以从中找到我们想要的那一次请求或者调用,因为很多时候,虽然是同一个方法,但是执行的东西却不一样,比如这个方法这次做了一个求和,下一次它可能是在求积,而我们需要它求积那一次,所以就要使用日志断点来看看到底有没有我们需要的东西。

        然后我们可以刷新页面,来到控制台页面,这样就能够看到日志断点输出的东西:

我们可以在筛选器里面输入内容,看看有没有我们想要的东西,这样就能够判断,这个方法是不是关键的那个方法。如果是的话,我们还可以利用条件断点让其在运行关键的那一次停住。

        所谓条件断点,顾名思义,需要满足一定的条件它才会断住,进入调试状态。我们把刚才那个日志断点取消,加上一个条件断点:

这样只有满足那一坨方法返回值的长度是28才会断住。这里有很多十六进制数,都是抖音做了代码混淆的。再次刷新页面,如果该方法执行了我们想找的那一步就会卡住。如下图,我们可以在控制台输入这个方法或者变量,看看此时它的值到底是什么。

我们可以看到,此时这个方法的返回值就是我们需要的。其实这个参数就是抖音的加密参数。这样我们就能进一步跟栈,找到加密方法的地方。

2.Ajax断点

        Ajax断点可以在发送Ajax请求的时候触发。我们把浏览器开发工具调到网络面板下就能看到这些Ajax请求

点击其中一个请求,然后可以复制其中url的一部分,

在XHR提取断点那里添加断点,这样当有包含这部分的url发送时,就会被断住。有时候可以这样再结合堆栈顺藤摸瓜找到它加密的地方。

3.改写JS文件

        如果我们想要改变一下JS文件怎么办呢?比如我们想要在浏览器运行的JS代码里面加入我们自己的代码,这就需要我们去改写JS文件了。

例如这里我们想要在这个发送Ajax请求前输出一点东西。

首先我们点击左边的这个覆盖:

然后点击加号选择一个文件夹:

浏览器会弹出一个提示,我们选择允许:

然后我们再返回要替代的那个JS文件,选择替代内容:

这时可以改写的那个JS文件就有了一个特殊标识,我们在send前面加上自己的一行代码:

然后再ctrl+s保存,取消所有断点,刷新页面,当运行到这里的代码的时候,我们转到控制台页面就可以看到我们输出的内容了:

另外需要注意的一点是,不知道怎么回事格式化(美化)后的JS代码没有显示行号,这就导致了我们改写文件的时候找不到之前的断点在哪里了,此时的一个办法可以是我们先不加自己的代码,只是先保存,再刷新页面,由于我们替代了文件,这样断点就会打在我们替换的文件上,这时候再输入我们自己的代码就可以了。

        

C++&&C#萌新
关注
  • 15
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7天JS逆向实战讲解教程-视频教程网盘链接提取码下载 .txt
03-03
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下。 视频大小: 2.9G
js逆向学习笔记【一篇就够】
weixin_38640052的博客
10-19 826
js逆向学习笔记-出自陈老师
js逆向补环境-b站志远二期最后8节课笔记
十一姐的博客
07-16 7453
补环境的一些知识点V8引擎/DOM/BOM/vm2/proxy代理/node/浏览器,以及b站志远二期补环境最后八节课的总结概况
Autojs 实践-抖音极速版福袋脚本(附APK)
sout-lanys
02-22 8082
好久没更新博客了,最近做了个抖音极速版福袋脚本,想看看能不能自动抢到,于是在仿照其他脚本UI做了一个,哈哈。利用上班时间让它自己跑,测试大概2-3天,一个福袋没抢到(也不知道是不是被检测到了),唉,确实蛮心累了,可能也需要一些经验吧,后面会持续优化吧!!!抖音极速版脚本分:体验版普通版云控版。毕竟创作不易,我会给出体验版本源码,放心。后面会继续完善、比如日志框、浮窗、直播间参与人数过滤、抢普通福袋等等。
JS逆向学习笔记
sinat_28371057的博客
02-13 1090
JS逆向学习笔记 寻找深圳爬虫工作,微信:cjh-18888 文章目录 JS逆向学习笔记 一. JS Hook 1. JS HOOK 原理和作用 原理:替换原来的方法. (好像写了句废话) 作用: 可以去Hook一些内置的函数, 例如Debugger, setInterval,JSON.stringify等等 2.JSHook 检测与过检测 原理: 其实就是检测代码是否和原来的相等. 绕过手段: 修改Function的.
逆向查壳工具--Exeinfo PE
05-31
逆向查壳工具--Exeinfo PE
【JavaScript 逆向】抖店滑块逆向分析
Yy_Rose的博客
04-26 6296
captchaBody 参数逆向分析
JS逆向之补环境学习笔记(较杂)
Xzike的博客
10-09 2157
JS逆向之补环境下载使用vm2检测环境的一些点参考 下载使用vm2 vm2可以理解为一个纯净的脱离Node的V8环境,相当于重新启动了一个进程,然后在进程中不允许加载Node中的一些东西,禁止了一些Node中的特性,是一个相当于V8的沙箱环境。 npm install vm2 检测环境的一些点 node环境中有process,而V8环境或者浏览器环境中没有process。 任何canvas指纹都存在一定得误杀率,所以厂商不会去对canvas指纹做强校验,因为不同浏览器canvas底层实现代码不同;其次即
js逆向笔记-js本地联调
weixin_46468720的博客
10-18 279
在 保存下来的js文件头部,随便定义个变量,然后刷新这个js地址,看看是否显示的是本地js文件内容:如图。在规则编辑器中,第一个下拉框选择正则,第二个下拉框选择find as file,文件选择保存的js文件。在本地js文件中,刚刚打不上断电的地方,直接dubugger,再次去抓包跟值的时候,就能断进来了。后面这个时间戳会变化的,导致断点打上,但是重新刷新网页,断点又失效。把这个js文件保存到本地,文件名随便起xxx.js。能看到显示本地js文件内容,说明没问题,继续。1、对于那些刷新网页,js后缀会变(
某音X-Bogus算法研究 2023-05-15
byc6352的专栏
05-15 7462
某音X-Bogus算法研究,反爬策略,JavaScript逆向方法,JavaScript算法与混淆,教学参考。2023-05-15
WT-JS逆向调试工具
04-01
js调试工具
javascript逆向 猿人学 js混淆 回溯 逆向学习
最新发布
03-12
优化JavaScript逆向学习的关键在于掌握混淆代码的解析技术和调试工具的运用,比如使用JavaScript解析器或调试器来逐步执行代码、观察变量取值和函数调用等,以及利用代码格式化工具和静态分析工具来辅助逆向分析。...
通过逆向工程学习JWT的演示-JavaScript开发
05-26
通过逆向工程学JWT的演示通过逆向工程学JWT的演示如何使用它转到repl.it上托管的演示(或在本地计算机上运行:clone repo-> npm install-> npm start)尝试各种配置阅读每一页上的线索,获得更多资源,以更深入地...
2_js逆向学习笔记-js基础
weixin_41814736的博客
01-04 594
js基础 js的组成: EDMAScript:制定了一些JavaScript的标准 DOM:文档对象模型:DOM可以把html看作文档树,通过DOM提供的api可以操作这个文档树 BOM:浏览器对象模型:通过BOM可以操作浏览器窗口比如弹出框、控制浏览器跳转 BOM: window对象:不但充当全局作用域,而且表示浏览器窗口,它有如何属性和方法: window对象的属性: closed:窗口是否已被关闭,值为true或者false defaultStatus:设置或返回窗口状态栏的默认文本
爬虫笔记--js逆向、头条分析
语欣语涵
12-18 1687
注意:在nodejs中默认代码中会有一个global的关键字(全局变量)。如果执行出现错误,请去官方网站下载并安装最新的稳定版的node即可。注意:上述安装成功后已可以模拟浏览器环境,由于今天的头条他的内容。属性从一个或多个源对象复制到目标对象,返回修改后的对象。jsdom(通过后端node+js代码实现伪造浏览器环境)本质还是调用node.js去编译代码。本质上都是依赖node.js。环境准备:node.js。node编译执行 ``pyexecjs模块。
JS逆向】【12.编码算法】MD5信息摘要算法(详细笔记
weixin_43612602的博客
01-04 1163
编码算法 1. 摘要算法 2. MD5特性 3. 语法 加盐 salt
JS逆向入门教程p1 浏览器设置 常用工具
m0_61634551的博客
06-26 912
http编程语言(网络apidavaScript)逆向(js逆向 安卓逆向 ios逆向 PC逆向)调试图像识别下载城南Post助手、fiddler、wireshark(鲨鱼)抓包工具;通过进程抓包f12配置推荐,实验功能全部关闭时间线上的分配检测:js的运行时间线关闭时间线:V8(JavaScript引擎) node.js=v8+js+扩展先看值,再看对象(当看不到值,可以尝试查看对象)程序 栈 (代码的运行流程)a方法调用b方法ba。
js逆向案例-X-Bogus/signature算法分析
热门推荐
十一姐的博客
03-23 1万+
目录一、案例分析二、signature定位与分析三、X-Bogus定位与分析四、滑块captchaBody还未研究 一、案例分析 案例网址,研究的是这个接口,获取用户视频的接口 研究的参数是请求参数当中的X-Bogus和_signature,并不是所有接口都需要这两个参数,有的并不校验,有的只有cookie即可了,有的有这两个参数即可了,具体接口具体分析,本文只是研究下这两个参数的生成逻辑思路 二、signature定位与分析 采用xhr定位signature,首先清除缓存,然后刷新网页,会定位到
逆向学习汇编语言学习笔记
08-12
嗨!对于逆向学习汇编语言的学习笔记,我可以给你一些基本的指导。首先,汇编语言是一种低级语言,它与计算机的底层硬件密切相关。逆向工程则是通过分析和理解已编译的程序来获取程序的内部信息。 以下是一些学习汇编语言和逆向工程的建议: 1. 学习基础知识:了解计算机体系结构、寄存器、内存和指令集等基础概念是必要的。可以先阅读相关的书籍或在线教程,掌握这些基本概念。 2. 掌握汇编语言的语法和指令集:每种计算机体系结构都有自己的汇编语言语法和指令集。选择一种你感兴趣的体系结构(如x86、ARM等),并学习它的汇编语言。 3. 练习编写和调试汇编代码:通过编写简单的汇编代码来熟悉语法和指令集。使用调试器来单步执行代码并观察寄存器和内存的变化。 4. 分析已编译程序:选择一个目标程序进行逆向分析。使用反汇编器将程序转换为汇编代码,并分析代码的逻辑和功能。这有助于理解程序的结构和运行过程。 5. 使用调试器进行动态分析:通过调试器来动态地执行程序,并观察程序在运行时的行为。使用断点、内存查看器和寄存器查看器等工具来分析程序的状态和数据。 6. 学习逆向工程工具和技术:了解常用逆向工程工具和技术,如IDA Pro、OllyDbg、Ghidra等。掌握这些工具的使用可以提高你的逆向分析能力。 7. 参考优秀资源:阅读与逆向工程和汇编语言相关的书籍、论文和博客,关注相关的社区和论坛。与其他逆向工程师交流经验也是很有帮助的。 记住,逆向工程是一个需要耐心和实践的过程。持续学习和实践将帮助你提高逆向分析的技能。祝你在学习汇编语言和逆向工程的过程中取得好成果!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值