AST还原实战| 实战还原一个中等难度的ob变种混淆代码

已于 2023-08-01 14:15:26 修改
阅读量398 收藏
点赞数
文章标签: 数据库 java 开发语言
于 2023-07-31 15:15:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/132033640
版权

关注它,不迷路。       

本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!

1. 需求分析

之前有星友发了这个链接在群里:

https://thetanuts.org/

发现有混淆的代码,拿来做实战还原的案例不错,因此有了这篇文章。

但是现在网站访问不了了,大家可以自行到知识星球里下载混淆样本。

https://t.zsxq.com/10m1trpX3

2. 思路详解

拿到混淆代码,首先的是去分析,那些地方是可以进行还原处理的,一步一步来,会有种 "柳暗花明又一村"的感觉。

将代码格式化以后,它长这样:

e4aa6096dc40d617a961412de6d41a3c.png

这种十六进制字符串和Unicode字符串先还原,使用下面的插件:

const simplifyLiteral = {
  NumericLiteral({node}) {
    if (node.extra && /^0[obx]/i.test(node.extra.raw)) {
      node.extra = undefined;
    }
  },
  StringLiteral({node}) 
  {
    if (node.extra && /\\[ux]/gi.test(node.extra.raw)) {
      node.extra = undefined;
    }
  },
}

这一步还原后,继续分析:

90af7bea104766ffcb4545189545bde9.png

可以看到,它有很多的 CallExpression,并且,其callee子节点的类型是有差异的,如:

__p_6473343178["call"](undefined, 226)

和:

__p_6473343178["apply"](undefined, [144]);

或者:

__p_6473343178(134);

这是三种不同的函数调用,因此,写个代码将其统一一下,更有利于我们进行下一步分析:

__p_6473343178(226);
__p_6473343178(144);
__p_6473343178(134);

还原的AST代码如下:

const changeForCall = 
{
  CallExpression(path)
  {
    let {callee,arguments} = path.node;
    if (!types.isMemberExpression(callee) || arguments.length < 2 || !types.isIdentifier(arguments[0],{"name":"undefined"}))
    {
      return;
    }
    
    let {object,property} = callee;
    
    if (types.isStringLiteral(property,{"value":"call"}))
    {
      let callNode = types.CallExpression(object,arguments.slice(1));
      path.replaceWith(callNode);
      return;
    }
    
    if (types.isStringLiteral(property,{"value":"apply"}) &&
        arguments.length == 2 && types.isArrayExpression(arguments[1]))
    {
      let callNode = types.CallExpression(object,arguments[1].elements);
      path.replaceWith(callNode);
    }    


  }
}




traverse(ast, changeForCall);

这一波还原之后,代码成这样了:

90a7696c566e7281b8b37ef5368513b9.png

可以发现,对于每一个  CallExpression,它的实参都是字面量,之前见过,如果函数是个纯函数,且与浏览器环境无关,那我们是可以进行还原的

这种函数调用还原,就考验大家的抠代码能力了,思路就是先把函数定义抠出来,在node下运行,然后缺啥补啥。最后打印出来的字符串不是乱码,至少可以确认代码成功抠取了

如下图所示:

9bf094f8498d249e0164e42e261ea806.png

代码抠出来后,能在node下正常运行并打印的字符串不是乱码,可以判断抠取对了。

接下来就是还原所有的函数调用了:

const callToString = {
    "CallExpression"(path) {


        let node = path.node;


        let {callee, arguments} = node;
        if (!types.isIdentifier(callee, {
            "name": "__p_6473343178"
        })) {
            return;
        }


        if (arguments.length != 1 || !types.isNumericLiteral(arguments[0])) {
            return;
        }


        let value = __p_6473343178(arguments[0].value);
        console.log(path.toString(), "-->", value);
        path.replaceWith(types.valueToNode(value));
    },
}

这个插件运行后,还原的代码如下:

54a231f626baf725642a9aad7386bd67.png

剩下的部分我相信大部分人都能够还原了,无非就是变量定义的还原,常量折叠,Array类型的还原等。这在星球的置顶二里面都能找到现成的插件。这里不做讲述。

今天的文章就分享到这里,后续分享更多的技巧,敬请期待。

悦来客栈的老板
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AST混淆工具v0.3
05-27
ast混淆工具的第三版,前两版在我的github上,第三版优化内容在使用了多线程,但是处理过大的js时还是会有卡住的情况,在第二版的基础上优化了一下ast代码,添加了部分常用工具 v0.3目前未解决: 应用内说明文档暂时未写 AES标准加解密只写好了界面,功能未实装 AST界面历史记录功能未实装 这些问题将在v0.4版本更新 该程序仅供交流,请确保电脑上存在node.js和bable,否则打开软件会报错,只会影响ast相关功能的使用,不会影响其他小工具的使用 免费软件,请勿进行倒卖,转载请标明开发者,谢谢
ob-decrypt:ob混淆还原工具,欢迎star!
04-11
ob混淆还原工具 Author 丁仔 微信公众号 逆向新手 Introduce Python、爬虫、JS逆向 使用说明 一、ob混淆网站 ob混淆特征: // 开头一个大数组 var _0xa441 = ['\x49\x63\x4b\x72\x77\x70\x2f\x44\x6c\x67\x3d\x3d', ···] // 自执行函数对数组进行位移 (function (_0x56a234, _0xa44115) { var _0x532345 = function (_0x549d7c) { while (--_0x549d7c) { _0x56a234['push'](_0x56a234['shift']()); } }; _0x532345(++_0xa44115); }(_0xa441, 0x1d0))
ob混淆原理与破解方案(1)
weixin_52001594的博客
02-01 1621
对于网页来说,其逻辑是依赖于JavaScript来实现的,JavaScriptJavaScript代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript代码是公开透明的,也就是说浏览器可以直接获取到正在运行的JavaScript的源码。JavaScript 混淆完全是在 JavaScript 上面进行的处理,它的目的就是使得 JavaScript 变得难以阅读和分析,大大降低代码可读性,是一种很实用的 JavaScript 保护方案。
AST混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
AST混淆实战|变种ob混淆还原指南一
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
10-31 410
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.需求ob混淆是我们最常见的混淆代码,标准的混淆 可以用星球里的一键还原直接还原干净。但是不可能每个网站都使用标准的混淆。对于变种ob混淆,使用星球里的 还原框架 就有点无用武之地了。因此,写下此系列文章,帮助星友们学习反混淆的思路。2.实例由于网站一时半会找...
ob混淆_加速乐逆向学习
w62181310的博客
06-14 4837
ob混淆,加速乐学习案例
一键还原ob混淆详细使用教程
10-11 2454
tools,存放打包的babel库以及部分还原AST插件;参考:AST实战,免安装 一键还原ob混淆详细使用教程。模式输入 node,如果有版本号显示,则表示安。input文件夹, 存放ob混淆代码;如果文件过大 时间长 耐心等待半个小时。output文件夹,存放还原后的代码;main.js 运行主文件;
AST实战|免安装一键还原ob混淆详细使用教程
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
04-09 3731
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.环境安装在nodejs官网下载最新稳定版并安装:下载地址:https://nodejs.org/en/安装成功后,在命令行模式输入 node,如果有版本号显示,则表示安装成功。二.下载项目项目地址:https://github.com/Tsaibo...
AST实战|手把手教你还原ob混淆:初识ob混淆
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-23 4898
免责声明:本文仅供学习研究,请勿用于非法用途,否则后果自负!一.什么是ob混淆?全称是obfuscator,其官网是:https://obfuscator.io/ 它是一款免费、开源的...
【爬虫前置知识】OB 混淆与变量名混淆特性详解
热门推荐
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
03-30 1万+
Python 爬虫系列专栏 OB 混淆与变量名混淆特性详解 简介 OB 混淆特性 UglifyJS 实现 OB 混淆 JavaScriptObfuscator 实现 OB 混淆
AST混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.针对最新的https://obfuscator.io/混淆规则进行针对性处理 5.提升部分功能的兼容性 6.新增三元表达式转if-else功能,解决原版涉及的作用域问题 目前可处理2022-4-20当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
AST混淆js还原工具2.2(20230203)
02-03
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.反混淆后尽量接近源码的可读性 介绍 1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.修复已知bug,增加功能与兼容性
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码.doc
07-08
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码.doc
AST混淆js还原工具2.3(20231219)
12-19
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.反混淆后尽量接近源码的可读性 介绍 01 功能优化:删除if中的假分支,修改不兼容的部分 02 新增功能:对解密函数的二次封装,提取所有二次封装的函数名称...
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 426
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
探秘MySQL主从复制的多种实现方式
最新发布
todoitbo的博客
04-26 653
本文将深入探讨MySQL主从复制的多种实现方式,包括基于语句、基于行和混合模式等。无论您是初学者还是有经验的数据库管理员,都能通过本文全面了解MySQL主从复制技术的多样化选择,从而提高数据库的可用性和性能。
mysql-connector-java和spring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 956
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库
redis分布式锁到底怎么用
LinggoLing的博客
04-22 441
分布式锁到底怎么用
AST 混淆还原入门
09-03
AST混淆还原是指通过对JavaScript代码的抽象语法树(AST)进行还原,来反混淆经过混淆处理的代码AST混淆还原入门可以通过以下几个步骤实现: 1. 了解抽象语法树(AST):抽象语法树是用于表示代码结构的一种数据结构。它将代码转换为树状结构,每个节点代表代码的不同部分。了解AST的基本概念和节点类型对于进行混淆还原非常重要。 2. 学习JavaScript语法:要进行AST混淆还原,需要对JavaScript的语法有一定的了解。熟悉JavaScript的语法规则和常见的代码结构将有助于理解和还原混淆代码。 3. 使用AST还原工具:在进行AST混淆还原时,可以使用一些开源的AST还原工具,如丁仔大佬的AST还原工具。这些工具可以将混淆后的代码转换为AST,然后通过对AST进行分析和还原,最终得到可读性较高的代码。 4. 学习AST还原技术:了解AST还原的原理和技术对于深入理解和应用AST还原工具非常重要。可以学习一些AST还原的基本技术,如遍历AST、修改AST节点等,以及一些高级的AST还原技术,如模式匹配、符号执行等。 5. 实践与练习:通过实践与练习,逐渐提升对AST混淆还原的理解和技巧。可以选择一些混淆代码进行还原,尝试使用AST还原工具进行还原,并对还原结果进行分析和验证。 需要注意的是,AST混淆还原一个复杂的过程,对于不同的混淆代码可能会有不同的还原策略和技术。因此,除了入门的基础知识外,还需要不断学习和积累经验,才能在实际应用中取得更好的效果。<span class="em">1</span> #### 引用[.reference_title] - *1* [AST混淆js还原工具2.2(20230203)](https://download.csdn.net/download/jia666666/87413335)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值