AST反混淆实战:obfuscator解混淆四步走

最新推荐文章于 2024-06-13 15:26:22 发布
最新推荐文章于 2024-06-13 15:26:22 发布
阅读量4.1k 收藏 11
点赞数
文章标签: javascript go mysql 索引 js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/111056127
版权

第一步 处理CallExpression

下图是某个被obfuscator工具混淆了的代码部分截图:

这里有很多的 CallExpression,诸如:

_0x552e53('3$kU', 0x1ab, 0x153, 0x261)
_0x3be775('vrJS', 0x2cb, 0x307, 0x228)
_0x3be775('mbUX', 0x432, 0x36d, 0x379)
.......

它们有一个共同的特点,就是实参全部是 字面量,对于实参已知的函数来说,其结果大部分都是固定的,因此只需要将其值计算出来,并替换掉这些CallExpression,会使代码清晰一点。

下图是我还原后的部分代码截图:

相比第一个图,明显要好看很多。

第二步 处理ObjectExpression

从上面的截图可以看出,这里的 _0x499a89 是一个object,它里面的key、value都很有规律,key的长度都是5,value只有两种类型:

StringLiteral 和 FunctionExpression,Literal类型的节点自不必说,可以直接进行替换,而 FunctionExpression 也是非常的简单,种类也比较少,构造起来也非常的容易。

替换前:

替换后:

可以看出,明显要清晰很多。

第三步 去控制流

经过第二步处理后,可以看到很多这样的代码:

这是一个while循环,它是由

var _0x1432cf = "1|2|3|0|4"["split"]('|'),

来控制顺序的,因为都是字面量,每个代码段的顺序是固定的,所以也可以直接进行处理。下图是处理过后的代码:

明显,要比之前的代码顺眼很多。

第四步 删除deadCode

上面截图中,有很多类似这种结构的代码:

if(true)
{
.....
}
else
{
......
}

可以看到if语句里面的判断为true,因此它只会执行if语句里面的代码,而else里面的代码是不可能执行的,这样的代码就叫 DeadCode,不会执行的代码,直接删除就好。

删除deadCode之后,代码更加的简洁明了。

注意,每一步都环环相扣,前一步过不了,后一步就没法执行。它的套路就是这样,其实处理起来也很简单。你,学废了吗?

悦来客栈的老板
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
发票查验平台JS混淆文件编译原理分析兼谈obfuscator编译步骤分析
suntax的博客
02-17 2170
发票查验平台JS混淆文件编译原理分析兼谈obfuscator编译步骤分析obfuscator混淆的特征及几种格式。 发票查验平台JS混淆文件编译原理分析兼谈obfuscator编译步骤分析之所以带上发票查验平台,是因为,这个发票查验平台的大多数JS是经过obfuscator加密混淆的处理过的,对于我自己练练手比较合适。本文只分析obfuscator混淆编译的原理方法及步骤,权当是静态分析的一种尝试,不讨论动态调试分析。 obfuscator混淆的特征及几种格式。 特征 ...
Unity3D+Obfuscator Pro v3.9.5+脚本混淆工具
04-25
2. **控制流混淆**:打乱代码的执行顺序,使得编译器难以理逻辑流程。 3. **方法体压缩**:去除不必要的空白和注释,减小代码体积。 4. **字符串加密**:对字符串常量进行加密,防止被直接读取。 5. **类型混淆*...
AST实战|免安装一键还原ob混淆详细使用教程
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
04-09 3967
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.环境安装在nodejs官网下载最新稳定版并安装:下载地址:https://nodejs.org/en/安装成功后,在命令行模式输入 node,如果有版本号显示,则表示安装成功。二.下载项目项目地址:https://github.com/Tsaibo...
AST混淆实战|datadome混淆代码控制流还原分析
最新发布
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
06-13 422
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.控制流代码在还原datadome的字符串以后,发现了一下控制流,大部分类似如下:所有需要处理的循环都是这种结构,即循环体只有两个节点,一个是switch节点,另外一个是break节点,和ob混淆的控制流有点类似。2.预处理想要还原控制流,需要获取每次switc...
AST混淆实战:4行代码obfuscator密函数复赋值问题
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-09 3593
前天打了个 安卓逆向+ JavaScript 逆向组合课的广告,今天写在原创的东西,以飨读者。更新了obfuscator 混淆工具更新了,地址https://obfuscator....
De-obfuscation混淆_密字符串_ jeb script
github_38641765的博客
10-08 1829
小技巧 (1) 如果混淆的类名中出现过于复杂的Aeabffdccdac这种类型的类名,明显是经过手动更改的,所以有可能就是恶意的软件,因为大部分正规开发这只用商用的混淆器,混淆成 (a, b, c, etc.) 这种,不会过于复杂 导出Jar包流程,简单的jeb脚本 eclipse配置jeb.jar包教程 import jeb.api.IScript; imp...
AST实战|手把手教你还原ob混淆:ob混淆代码特征
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-24 3589
ob混淆过的代码有那些特征?特征一:大数组 +移位自执行函数 +密字符串函数。下面的代码是一个之前我在官网上混淆的一个例子:‍可以看到,大数组为变量_0x33fc,移位自执行函数...
Python操作ASTJS混淆
李玺
10-24 4776
通过生成语法树(AST),可快速修改代码中的一些混淆处理,从而简化代码,便于后续分析。
AST混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前...中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
AST混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。...中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
javascript-deobfuscator:由javascript-obfuscator生成的混淆代码
05-14
javascript-deobfuscator 由生成的代码
YanoDeobfuscator:YanoDeobfuscator 是 YanoObfuscator 的开源混淆
06-02
Yano去混淆器 YanoDeobfuscator 是的开源。 它使用由编写的 Dnlib 用于汇编版本。 特征 YanoDeobfuscator 支持一些功能: 目前的特点: 能够使用或不使用 ControlFlow 密字符串 要添加的功能: 类/字段/方法的简单重命名 笔记 要清理控制流,请使用 要密资源,只需使用将程序集转储到内存中
BabelDeobfuscator:BabelDeobfuscator 是 BabelObfuscator 的开源混淆
06-06
Babel 去混淆器 BabelDeobfuscator 是的开源。 它使用由编写的 Dnlib 用于汇编版本。 特征 BabelDeobfuscator 支持一些特性: 目前的特点: 能够使用或不使用 ControlFlow 密字符串 能够删除受演示版本保护的文件的演示“时间限制” 要添加的功能: 类/字段/方法的简单重命名(Cflow 问题) 一些字符串没有用 vb.net (xx.My Type) 编写的项目去混淆 笔记 要清理控制流,请使用 我只有演示版,所以如果你可以分享一些受完整版保护的应用程序,我可以改进它
Javascript Obfuscator代码混淆
08-19
一个简单的js代码混洗工具,配合我写的小程序就能一本万利,简单而又不失华丽的搞定代码混淆这道小工序!
synchrony:javascript-obfuscator清洁剂和混淆
05-28
同步性 javascript清洁剂和混淆器(主要是 / ) 用法 # 1. Install deobfuscator globally using yarn/npm yarn global add deobfuscator # OR npm install --global deobfuscator # 2. Get an obfuscated file # 3. Copy file to working directory # 4. Create a config synchrony config ./config.js # 5. Run deobfuscator synchrony deobfuscate ./script.js -c ./config.js # 6. Check the reuslts of your debofuscation at script.cleane
obfuscator混淆工具
02-06
1. **深度混淆**:"obfuscator"能够对代码进行深度混淆,不仅局限于简单的名字替换,还能对方法和类结构进行重构,使得编译后的代码逻辑混乱,难以复原。 2. **优化压缩**:在混淆的同时,"obfuscator"可以优化...
JS逆向之AST混淆----元宇宙
qq_15326513的博客
07-19 2280
AST案例网站涉及加密算法比较多,JS有又被混淆,是一个可以练练手的网站,小伙伴们一起来探讨一下吧。
AST混淆|如何彻底还原标准的ob混淆代码(上)
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
05-20 676
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.什么是ob混淆ob混淆是最最最常见的混淆代码,它的变量名一般是以"_0x"开头,如"_0x33fc",很多新手朋友因为基础不扎实,误以为它是一个十六进制的数据。它的官网地址:https://obfuscator.io/2.旧版的ob混淆目前网站上主要流行...
obfuscator混淆
05-14
Obfuscator是一种将代码进行混淆的工具,用于增加代码的复杂度和难度,从而提高代码的安全性。但是,有时候需要对混淆后的代码进行混淆,以便进行代码分析和调试。 混淆的方法通常是通过逆向工程来还原混淆前的代码。这可以通过手动分析和猜测来实现,但是这种方法非常耗时且效果不稳定。因此,一些混淆工具也被开发出来,可以自动化地进行混淆。 这些工具通常包括代码析器、控制流分析器、数据流分析器和代码生成器等模块,可以深入分析混淆的代码,并尝试还原原始代码。但是,由于混淆技术的不断发展,混淆工具也需要不断更新和改进,以应对更加复杂的混淆技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值