JS逆向:拨云见日,AST解混淆让代码分析变得如此简单

最新推荐文章于 2024-05-23 09:54:09 发布
最新推荐文章于 2024-05-23 09:54:09 发布
阅读量4.3k 收藏 9
点赞数 4
文章标签: 字符串 js javascript debug cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/110459576
版权

本文分析的是某国外的cdn,如果国内有使用该cdn的站点,请与本人联系立即删除,谢谢。

遵纪守法是每个公民应尽的义务和责任。

要分析的网站如下:

"aHR0cHM6Ly9ib29raW5nLnZvbG90ZWEuY29tLw=="

需要着重分析的是类似下面的url:

"aHR0cHM6Ly9ib29raW5nLnZvbG90ZWEuY29tL19JbmNhcHN1bGFfUmVzb3VyY2U/U1dKSVlMV0E9NzE5ZDM0ZDMxYzhlM2E2ZTZmZmZkNDI1ZjdlMDMyZjMmbnM9MSZjYj0xNjc2OTgyNzkx"

它返回的是一段JavaScript代码:

由于代码太长,我就放个截图吧,它是一个自执行的函数,首先定义了很长的一串字符串,然后再进行 String.fromCharCode操作,最后eval运行,会生成一个  ___utmvc 字段的cookie,你可以在这个页面看到它:

https://booking.volotea.com/_Incapsula_Resource?SWKMTFSR=1&e=0.2468114615986583

在这里将 此时的cookie值贴出来吧,方便后续比对:

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

如图:

将这段源代码复制到浏览器控制台,把eval 换成 console.log,回车,再把结果美化下,如图:

很多很多这样的十六进制字符串,用之前介绍的方法,将其转换为 人能识别的字符串,还原后成这样:

又变成了我们非常熟悉的ob混淆了,这种代码之前有介绍过怎么处理,通过操作AST将加密的函数调用解密成字符串:

这比之前的代码又要清爽很多,我们注意到有几个这样变量:

var _0x1df825 = {.....}

这种也是可以进行处理的,论坛上有相关的处理方法,请进行参考。处理后的部分代码:

同一位置 的截图如上,而这种 while--- switch语句也是可以通过操作AST来进行(请参考论坛上的文章)处理的,处理后的部分代码截图:

大致还原成这样就差不多了。我们在代码中直接搜索 ___utmvc 试试:

  function _0x33d434(_0x62c6cd) {
    var _0x2f2a79;
    var _0x2cecf5 = _0x288ca0();
    var _0x3dacec = new _0x2ca1a3["Array"](_0x2cecf5["length"]);
    for (var _0x59635d = 0x0; _0x59635d < _0x2cecf5["length"]; _0x59635d++) {
      _0x3dacec[_0x59635d] = _0x1efa58(_0x62c6cd + _0x2cecf5[_0x59635d]);
    }
    _0x50089f();
    var _0x518d86 = "\x94\xF6|V\xF2\x87\xDA~";
    var _0x5c5427 = _0x518d86["substr"](0x0, 0x5);
    var _0x4116fd = _0x518d86["substr"](0x5);
    var _0x39af56 = "\xEF\xF7q\x05\xE2\x12\xBE@";
    var _0xeda3f4 = 0x3;
    while (--_0xeda3f4) {
      _0x39af56 = _0x39af56["substr"](0x1) + _0x39af56[0x0];
    }
    var _0xfd1c9f = _0x39af56;
    var _0x3cc1e3 = _0x39af56["length"] - 0x1;
    while (--_0x3cc1e3) {
      _0xfd1c9f = _0xfd1c9f["substr"](0x1) + _0xfd1c9f[0x0];
    }
    var _0xf84116 = _0x27b9("0x65", _0x5c5427 + _0x4116fd);
    var _0xca7a76 = _0x3dacec["join"]();
    var _0x5bc98e = "";
    for (var _0x59635d = 0x0; _0x59635d < _0xf84116["length"]; _0x59635d++) {
      _0x5bc98e += (_0xf84116["charCodeAt"](_0x59635d) + _0xca7a76["charCodeAt"](_0x59635d % _0xca7a76["length"]))["toString"](0x10);
    }
    _0x50089f();
    _0x7b92["push"](btoa(_0x62c6cd));
    _0x2f2a79 = btoa(_0x27b9(_0x7b92["length"] - 0x1, _0xf84116["substr"](0x0, 0x5)) + ",digest=" + _0xca7a76 + ",s=" + _0x5bc98e);
    _0x7b92["pop"]();
    _0x28e982("___utmvc", _0x2f2a79, 0x14);
  }

原来调用了 _0x28e982 这个函数:

  function _0x28e982(_0x491bc3, _0x4bb0d1, _0x5dfe4c) {
    var _0x35bb3c = "";
    if (_0x5dfe4c) {
      var _0x4a870b = new _0x2ca1a3["Date"]();
      _0x4a870b["setTime"](_0x4a870b["getTime"]() + _0x5dfe4c * 0x3e8);
      var _0x35bb3c = "; expires=" + _0x4a870b["toGMTString"]();
    }
    _0x240c09["cookie"] = _0x491bc3 + "=" + _0x4bb0d1 + _0x35bb3c + "; path=/";
  }

逻辑很清晰,就是一个cookie赋值的功能,并且这个值是通过 参数传递进来的,也就是上面代码中的 _0x2f2a79,它是在这里赋值的:

 _0x2f2a79 = btoa(_0x27b9(_0x7b92["length"] - 0x1, _0xf84116["substr"](0x0, 0x5)) + ",digest=" + _0xca7a76 + ",s=" + _0x5bc98e)

原来值是经过 base64编码的,我们将之前保存的cookie值解码看看:

以及:

解码后看到了 digest=112794, 以及

s=84897aae9f82a8827a8a8979819e82678d9a7573a570ae6b65a37679a48860a37badad6b7f726f74;

 再一次佐证了生成的位置。前面是一段看不懂的字符串,我们从这个 digest 作为爆破点,它的值是  _0xca7a76,最后的生成位置在这里:

var _0xca7a76 = _0x3dacec["join"]();

继续往上追 _0x3dacec:

   function _0x33d434(_0x62c6cd) {
    var _0x2f2a79;


    var _0x2cecf5 = _0x288ca0();


    var _0x3dacec = new _0x2ca1a3["Array"](_0x2cecf5["length"]);


    for (var _0x59635d = 0x0; _0x59635d < _0x2cecf5["length"]; _0x59635d++) {
      _0x3dacec[_0x59635d] = _0x1efa58(_0x62c6cd + _0x2cecf5[_0x59635d]);
    }

首先看  _0x288ca0 这个函数:

  function _0x288ca0() {
    var _0x1b9363 = new _0x2ca1a3["Array"]();
    var _0x5f24c8 = new _0x2ca1a3["RegExp"]("^\\s?incap_ses_");
    var _0x30d99e = _0x240c09["cookie"]["split"](";");
    for (var _0x59e2f0 = 0x0; _0x59e2f0 < _0x30d99e["length"]; _0x59e2f0++) {
      var _0x5c56a9 = _0x30d99e[_0x59e2f0]["substr"](0x0, _0x30d99e[_0x59e2f0]["indexOf"]("="));
      var _0x727f65 = _0x30d99e[_0x59e2f0]["substr"](_0x30d99e[_0x59e2f0]["indexOf"]("=") + 0x1, _0x30d99e[_0x59e2f0]["length"]);
      if (_0x5f24c8["test"](_0x5c56a9)) {
        _0x1b9363[_0x1b9363["length"]] = _0x727f65;
      }
    }
    _0x50089f();
    return _0x1b9363;
  }

是一段对 cookie操作的代码,这段代码拿到浏览器肯定是无法运行的,而且cookie的值早已改变,因此需要将这个响应是的cookie代码复制下来进行同样的操作:

我这里用的是火狐浏览器,因为我在谷歌浏览器上安装了插件,后面的代码有检测这个插件信息,会有干扰,处理起来不是很方便,因此我直接上一个没有插件的浏览器:

又因为直接在浏览器上进行cookie赋值,然后进行操作,会有错误:

这里只 split 出了一个字符串,肯定是不对的,我们直接搞一个普通的字符串split试试:

将这段代码替换进去即可:

  function _0x288ca0() {
    var _0x1b9363 = new _0x2ca1a3["Array"]();
    var _0x5f24c8 = new _0x2ca1a3["RegExp"]("^\\s?incap_ses_");
    var _0x30d99e = [ "dtSa=-", " dtCookie=1$E7FB92CBB7FBB1FC5FF8E30DD2DCE492|ea7c4b59f27d43eb|1", " ASP.NET_SessionId=4q44krz2ez3elmj0yzj33a3y", " geoInfo=%7b%22geoIp%22%3a2742941454%2c%22ip%22%3a%22163.125.247.14%22%2c%22continent%22%3a%22AS%22%2c%22country%22%3a%22CN%22%2c%22city%22%3a%22Shenzhen%22%2c%22currencyCode%22%3a%22CNY%22%2c%22displayCurrency%22%3a%22USD%22%2c%22latitude%22%3a22.5333%2c%22longitude%22%3a114.1333%2c%22nearestStation%22%3a%22ARK%22%2c%22selectedCurrency%22%3a%22USD%22%2c%22proposedCurrency%22%3a%22USD%22%2c%22multicurrency%22%3a%22true%22%7d", " tokenInfo=YTc2M2I2NmMtYWY5ZS00NTQ5LWI5ZTEtMjAyMDA1MTAxMDQzNDAtNHE0NGtyejJlejNlbG1qMHl6ajMzYTN5", " skysales=!Kq7SB+PO/C+ceuc8ac0SZ4cwGUzSo+xRgVJyWqQ7MsPUeBrSLwP47Kc3G60M05gvdg3Mzc6esR915ac=", " ak_bmsc=ED4CEB49C8564F5CFA51B7676AB804647D38DA39853B0000DCDAB75E9FE4491C~plWLTGb0mCa7xbnSj4xNL/P8qL4FEjWlb3wclYRkPpR6hTbMOBK+LLao1UcYIXYlNmX69xEtt8PfNm+Dz5i8+Yi6JXhzq1TME/Z3HFD4VhJQfJl7Qe7mRr6Sg3bVkFrGX3v07Ha7ZEkRSvVQ7RhvfL/kB8LcsZ26cri5aFVytSQFZqrhlaMA3zea2Awp1wToZM/2ROY/7wcfE+NcF5hOb1EWcZ8Fikj3XWfNH2yJLYmDo=", " visid_incap_1895301=Tt1zbPCESTK/r3VzH4f95trat14AAAAAQUIPAAAAAABVDXqy6Jps1PJU7XM/v/8h", " nlbi_1895301=BNMkF3yZniMb8R43DWaj5AAAAAD/pJINRErKpKVBTRoo1P4k", " incap_ses_895_1895301=2/MZXcUNA3/iTzGHy65rDNzat14AAAAAi5FxnRPDlgGDDChRiyp6WA==" ];
    for (var _0x59e2f0 = 0x0; _0x59e2f0 < _0x30d99e["length"]; _0x59e2f0++) {
      var _0x5c56a9 = _0x30d99e[_0x59e2f0]["substr"](0x0, _0x30d99e[_0x59e2f0]["indexOf"]("="));


      var _0x727f65 = _0x30d99e[_0x59e2f0]["substr"](_0x30d99e[_0x59e2f0]["indexOf"]("=") + 0x1, _0x30d99e[_0x59e2f0]["length"]);


      if (_0x5f24c8["test"](_0x5c56a9)) {
        _0x1b9363[_0x1b9363["length"]] = _0x727f65;
      }
    }
    _0x50089f();
    return _0x1b9363;
  }

最后,新开一个标签页,将代码复制进去,然后缺啥补啥,让这个函数得以运行起来,注意,_0x50089f 这个函数没有什么用,可以直接删除,我得到的结果是这样的:

这样,这三行代码得以解决:

   var _0x2f2a79;
   var _0x2cecf5 = _0x288ca0();
   var _0x3dacec = new _0x2ca1a3["Array"](_0x2cecf5["length"]);

直接在浏览器上运行即可,再看下面的这个for循环:

for (var _0x59635d = 0x0; _0x59635d < _0x2cecf5["length"]; _0x59635d++) {
      _0x3dacec[_0x59635d] = _0x1efa58(_0x62c6cd + _0x2cecf5[_0x59635d]);
    }

运行报错,

_0x1efa58 is not defined

这是一个函数,直接复制到控制台运行:

 function _0x1efa58(_0x94e2f4) {
    var _0x22b242 = 0x0;
    for (var _0x1856e7 = 0x0; _0x1856e7 < _0x94e2f4["length"]; _0x1856e7++) {
      _0x22b242 += _0x94e2f4["charCodeAt"](_0x1856e7);
    }
    //_0x50089f();
    return _0x22b242;
  }

再次运行后,继续报错,

_0x62c6cd is not defined

看代码  function _0x33d434(_0x62c6cd) { 这个原来是参数,我们需要找到它的实参,即看 _0x33d434 这个函数是在哪里调用的:

又追到了这里,实参是 _0x3b88bc(_0x466892),这时我们得计算出它的结果,先看 _0x466892 ,有定义和更新:

var _0x466892 = [["navigator", "exists"], ["navigator.vendor", "value"], ["navigator.appName", "value"], ["navigator.plugins.length==0", "value"], ["navigator.platform", "value"], ["navigator.webdriver", "value"], ["platform", "plugin_extentions"], ["ActiveXObject", "exists"], ["webkitURL", "exists"], ["_phantom", "exists"], ["callPhantom", "exists"], ["chrome", "exists"], ["yandex", "exists"], ["opera", "exists"], ["opr", "exists"], ["safari", "exists"], ["awesomium", "exists"], ["puffinDevice", "exists"], ["__nightmare", "exists"], ["domAutomation", "exists"], ["domAutomationController", "exists"], ["_Selenium_IDE_Recorder", "exists"], ["document.__webdriver_script_fn", "exists"], ["document.$cdc_asdjflasutopfhvcZLmcfl_", "exists"], ["process.version", "exists"], ["global.require", "exists"], ["global.process", "exists"], ["WebAssembly", "exists"], ["window.toString()", "value"], ["navigator.cpuClass", "exists"], ["navigator.oscpu", "exists"], ["navigator.connection", "exists"], ["navigator.language=='C'", "value"], ["window.outerWidth==0", "value"], ["window.outerHeight==0", "value"], ["window.WebGLRenderingContext", "exists"], ["window.constructor.toString()", "value"], ["document.documentMode", "value"], ["eval.toString().length", "value"]];
_0x466892["push"](["'v4aead2a1deb1b76130ffbb35218fe2b608e5e059756393a0b06378a23b50336a'.toString()", "value"]);

看这个值,都是与浏览器相关的特征,也拷贝到控制台运行,

再将 _0x3b88bc 这个函数 同样拷贝到浏览器运行,然后再赋值给 _0x62c6cd

得到了这么一串与浏览器特征相关的数据,值出来了,再运行这个for循环吧:

for (var _0x59635d = 0x0; _0x59635d < _0x2cecf5["length"]; _0x59635d++) {
      _0x3dacec[_0x59635d] = _0x1efa58(_0x62c6cd + _0x2cecf5[_0x59635d]);
    }

再次运行,结果如下:

结果出来了,与之前的 值是一样的,我们再来看s的值:

继续将整个值计算出来:

只此,在浏览器上面已正确调试出结果。那如果要在node下面运行成功,要该如何呢?

可以看到,与node唯一的差异只是浏览器特征的检测,也就是这个object:

var _0x466892 = [["navigator", "exists"], ["navigator.vendor", "value"], ["navigator.appName", "value"], ["navigator.plugins.length==0", "value"], ["navigator.platform", "value"], ["navigator.webdriver", "value"], ["platform", "plugin_extentions"], ["ActiveXObject", "exists"], ["webkitURL", "exists"], ["_phantom", "exists"], ["callPhantom", "exists"], ["chrome", "exists"], ["yandex", "exists"], ["opera", "exists"], ["opr", "exists"], ["safari", "exists"], ["awesomium", "exists"], ["puffinDevice", "exists"], ["__nightmare", "exists"], ["domAutomation", "exists"], ["domAutomationController", "exists"], ["_Selenium_IDE_Recorder", "exists"], ["document.__webdriver_script_fn", "exists"], ["document.$cdc_asdjflasutopfhvcZLmcfl_", "exists"], ["process.version", "exists"], ["global.require", "exists"], ["global.process", "exists"], ["WebAssembly", "exists"], ["window.toString()", "value"], ["navigator.cpuClass", "exists"], ["navigator.oscpu", "exists"], ["navigator.connection", "exists"], ["navigator.language=='C'", "value"], ["window.outerWidth==0", "value"], ["window.outerHeight==0", "value"], ["window.WebGLRenderingContext", "exists"], ["window.constructor.toString()", "value"], ["document.documentMode", "value"], ["eval.toString().length", "value"]];
_0x466892["push"](["'v4aead2a1deb1b76130ffbb35218fe2b608e5e059756393a0b06378a23b50336a'.toString()", "value"]);

以及这个函数检测的结果:

_0x3b88bc(_0x466892)

因此在node环境下面只需要将这些特征补上即可,以

["navigator", "exists"], ["navigator.vendor", "value"]

这两个为例,一个是判断是否存在,一个是计算出它的值,

因此,你需要这样去补:

navigator = {};
navigator.vendor = "";

补特征是个细心的过程,做的多了,也就很容易了。

悦来客栈的老板
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
AST混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.针对最新的https://obfuscator.io/混淆规则进行针对性处理 5.提升部分功能的兼容性 6.新增三元表达式转if-else功能,决原版涉及的作用域问题 目前可处理2022-4-20当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
javascript逆向 js混淆 乱码增强 js逆向学习
03-08
学习 JavaScript 逆向工程和混淆技术旨在加强对代码安全性的认识和保护。了如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过学习逆向工程,可以更好地理代码运行原理,并从中获益。然而,在进行逆向工程时,务必遵守法律法规,维护知识产权。逆向工程并非只可用于破,还可用于分析、改进代码质量以及保护个人作品。 JavaScript 的混淆技术和乱码增强是提高代码安全性的手段之一。通过混淆技术,可以使代码难以被理分析,增加他人逆向工程的难度。同时,我们也应该关注代码质量和性能优化,确保代码的有效性和稳定性。学习逆向工程并不仅仅是为了破,更重要的是为了提升自身技能水平和对代码安全性的认识。 在探索 JavaScript 逆向工程的过程中,建议遵循合法、道德的原则。学习逆向工程应该注重知识产权保护,尊重他人劳动成果。同时,倡导合法的学习途径,避免利用逆向工程技术从事非法活动。逆向工程是一个复杂而有挑战性的领域,需要谨慎对待,以确保个人和他人的权益不受侵犯。 总的来说,逆向工程是一个值得深入学习的领域,通过学习逆向工程和混淆技术,
reese84 及___utmvc 逆向流程分析
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
04-12 479
随便搞搞。。自己也是一知半的。这里做个记录。这里主要搞一下 ___utmvc 和 reese84的cookie流程分析少走了很多弯路。
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码.doc
07-08
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码.doc
爬虫 JavaScript 逆向进阶!利用 AST 技术还原混淆代码
静觅
05-08 3416
这是「进击的Coder」的第 617篇技术分享作者:K 小哥来源:K 哥爬虫“ 阅读本文大概需要 47分钟。 ”目录文章较长,可作为 AST Babel 入门手册,强烈建议收藏!什么是 ASTAST(Abstract Syntax Tree),中文抽象语法树,简称语法树(Syntax Tree),是源代码的抽象语法结构的树状表现形式,树上的每个节点都表示源代码中的一种...
PHP下传统MVC与UT开发框架之区别总结
黄豆的博客
05-15 328
传统MVC中,控制器用来调用模型和视图,模型获取并处理数据,视图再将数据进行美化向终端输出。其过程多采用面向对象方式进行封装,虽然在标准化、工程化等维度上有优势,但其往往会将最简单的事情过度复杂化,过度封装严格按照既定模式,亦可能造成性能下降。
AST混淆工具v0.3
05-27
ast混淆工具的第三版,前两版在我的github上,第三版优化内容在使用了多线程,但是处理过大的js时还是会有卡住的情况,在第二版的基础上优化了一下ast代码,添加了部分常用工具 v0.3目前未决: 应用内说明文档暂时未写 AES标准加密只写好了界面,功能未实装 AST界面历史记录功能未实装 这些问题将在v0.4版本更新 该程序仅供交流,请确保电脑上存在node.js和bable,否则打开软件会报错,只会影响ast相关功能的使用,不会影响其他小工具的使用 免费软件,请勿进行倒卖,转载请标明开发者,谢谢
利用AST混淆先导知识:概念相关
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
10-23 3137
什么是AST?答:在计算机科学中,抽象语法树(Abstract Syntax Tree,AST),或简称语法树(Syntax tree),是源代码语法结构的一种抽象表示。它以树状的形式表...
js逆向工具-初学AST混淆
十一姐的博客
10-28 4252
目录一、AST推荐文章二、babel安装1、入门例子讲:修改量值2、入门案例代码:修改量值三、实际案例1、替换调用函数为结果 一、AST推荐文章 以下文章简单下,可以通过案例熟悉再回头再来看这些文章 babel手册1、babel手册2 13个示例快速入门JS抽象语法树 ast的概念和babel这一工具的具体使用 可视化显示AST结构工具 二、babel安装 node安装:node环境安装 babel相关包安装:在cmd窗口下执行如下命令npm install -g @babel/core n
AST混淆
LI4836的博客
04-06 544
AST混淆
Python操作ASTJS混淆
李玺
10-24 4672
通过生成语法树(AST),可快速修改代码中的一些混淆处理,从而简化代码,便于后续分析
AST混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,...目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
JavaScript逆向是指通过分析和理经过混淆的JavaScript代码,以及对代码执行过程的回溯和逆向学习,来揭示代码的真实意图和功能。猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、量名替换、...
AST批量决switch混淆
之度的博客
08-18 315
思路就是先把case语句里内容取下来,然后把第一句包含bVnHz.$_DO()函数的量表达式还有for加switch中break框架给删除。特征就是第一句是定义表达式,有bVnHz.$_DO()函数,下边是一个for嵌套者switch语句。...
漫画:聊一聊MVC、MVP、MVVM?
无敌码农
09-17 2058
过了几天...MVC的前世今生说起MVC大家并不会太陌生,只要进入Java开发领域MVC的概念就会响彻你的耳旁。不过如果有人问你什么是MVC你会怎么回答呢?......在...
推荐开源项目:UsualTool Framework(UT框架)- 打造高效多端开发的利器
最新发布
gitblog_00099的博客
05-23 294
推荐开源项目:UsualTool Framework(UT框架)- 打造高效多端开发的利器 项目地址:https://gitcode.com/usualtool/framework 项目介绍 UsualTool Framework(UT框架)是一个基于PHP的全栈式开发框架,以其完备的类库和广泛适用性,为各种类型的应用程序开发提供了强大支持。这款框架采用了不同于传统MVC模式的设计思路,旨在提高开...
十分钟的爬虫erAST混淆
weixin_43971225的博客
03-17 1065
本文大约4000字,阅读大约时间10分钟。可以一口气读完入门在爬虫er手中如何使用AST混淆
利用AST混淆先导知识:简单介绍path和node
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
11-09 2669
原来 一个 VariableDeclarator 只对应一个 量的定义,理这些,在我们插入节点的时候非常的有帮忙,比如我们想要在。如果你想获取更多path相关的方法,请直接阅读源码,阅读源码是你学习最快,也是最好的办法。注意,这里的3是我口算出来的,在实际操作过程中,是需要获取 "+" 两边的值并计算其结果的。当你觉得你访问的路径已经完成了改完成的事,对代码已经没什么作用了,可以将其删除,可以看到,上面就是一个个的节点,这也是我们再熟悉不过的JSON结构的数据。上图中红色方框处就是它的path类型。
js逆向 ast混淆
09-03
js逆向AST混淆是一种通过析和修改JavaScript的抽象语法树(AST)来还原混淆代码的过程。首先,我们需要获取到混淆代码AST表示形式。然后,根据特定的反混淆算法,对AST进行遍历和修改,以还原原始代码的结构和逻辑。在这个过程中,我们可以使用不同的技术和工具来帮助我们完成反混淆任务。 在提供的引用中,涉及了一些对AST进行遍历和修改的代码片段。例如,在引用中,使用了traverse函数来遍历AST,然后通过修改AST节点来进行替换和替换。在引用中,通过迭代和遍历AST,找到量名和取值方法名,然后将它们替换或删除。在引用中,使用了traverse函数和eval函数来移除赋值表达式和成员表达式。 以上是一些常见的技术和方法,用于js逆向AST混淆。具体的反混淆过程可能因代码结构和混淆方式而有所不同。为了成功反混淆代码,可能需要更多的详细信息和专业知识。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【JavaScript 逆向AST混淆](https://blog.csdn.net/pyzzd/article/details/130613135)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值