AST反混淆实战|某里226混淆代码还原详解

最新推荐文章于 2024-06-18 17:17:57 发布
最新推荐文章于 2024-06-18 17:17:57 发布
阅读量2.4k 收藏 12
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/132331999
版权

关注它,不迷路。       

本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!

1. 需求分析

最近网络上对阿里226的分析文章突然多了起来,我也来蹭一波热点试试。我还原的是下面的这个js:

https://aeis.alicdn.com/AWSC/fireyejs/1.226.0/fireyejs.js

话不多说,直接开干。

2. 思路详解

1.拿到压缩的混淆代码,先用反混淆通用模板处理一下,将其格式化,这样我们才好分析从哪里下手。

2.格式化后,看到了大量的 void 语句:

void (3 == h ? r = U < F.length ? 7 : 6 : h < 3 ? 1 == h ? r = y < O.length ? 8 : 1 : h < 1 ? (y++, r = 16) : (U++, r = 48) : 5 == h ? r = D < T.length ? 9 : 11 : h < 5 ? r = void 0 : (D++, r = 80));

它的父节点竟然是 表达式语句,相当于这里的 void 操作符可有可无,写个插件,可以轻松还原:

const restoreUnaryExpression = 
{
  UnaryExpression(path)
  {
    let {node,parentPath} = path;
    if (!parentPath.isExpressionStatement({"expression":node}) || !types.isConditionalExpression(node.argument))
    {
      return;
    }
    
    path.replaceWith(node.argument);


  },
}

还原后的代码如下:

3 == h ? r = U < F.length ? 7 : 6 : h < 3 ? 1 == h ? r = y < O.length ? 8 : 1 : h < 1 ? (y++, r = 16) : (U++, r = 48) : 5 == h ? r = D < T.length ? 9 : 11 : h < 5 ? r = void 0 : (D++, r = 80);

3.接下来就是将上面的条件表达式语句转换为 if 语句,还原后的代码如下:

if (3 == h) {
    if (U < F.length) {
        r = 7;
    } else {
        r = 6;
    }
} else {
    if (h < 3) {
        if (1 == h) {
            if (y < O.length) {
                r = 8;
            } else {
                r = 1;
            }
        } else {
            if (h < 1) {
                y++,
                r = 16;
            } else {
                U++,
                r = 48;
            }
        }
    } else {
        if (5 == h) {
            if (D < T.length) {
                r = 9;
            } else {
                r = 11;
            }
        } else {
            if (h < 5) {
                r = void 0;
            } else {
                D++,
                r = 80;
            }
        }
    }
}

4.接下来就是将if语句转换为switch语句了,不过从上面的代码可以看到,变量 h 和数字 比较,有时候在左边,有时候又在右边,不方便处理,因此写个插件将其统一一下,变量全部放到左边去,处理后的代码如下:

if (h == 3) {
    if (U < F.length) {
        r = 7;
    } else {
        r = 6;
    }
} else {
    if (h < 3) {
        if (h == 1) {
            if (y < O.length) {
                r = 8;
            } else {
                r = 1;
            }
        } else {
            if (h < 1) {
                y++,
                r = 16;
            } else {
                U++,
                r = 48;
            }
        }
    } else {
        if (h == 5) {
            if (D < T.length) {
                r = 9;
            } else {
                r = 11;
            }
        } else {
            if (h < 5) {
                r = void 0;
            } else {
                D++,
                r = 80;
            }
        }
    }
}

5.这样处理后,可以将 if语句转换为 switch语句了,还原后的代码如下:

switch (h) {
    case 0:
        y++,
        r = 16;
        break;
    case 1:
        if (y < O.length) {
            r = 8;
        } else {
            r = 1;
        }
        break;
    case 2:
        U++,
        r = 48;
        break;
    case 3:
        if (U < F.length) {
            r = 7;
        } else {
            r = 6;
        }
        break;
    case 4:
        r = void 0;
        break;
    case 5:
        if (D < T.length) {
            r = 9;
        } else {
            r = 11;
        }
        break;
    case 6:
        D++,
        r = 80;
        break;
}

6.处理完毕后,发现switch嵌套了switch,是由三个变量控制的,因此可以写代码,将三重的switch语句转换为一重,方便后续继续还原:

0b5c444e5ffd34b1fa552d20a665a15f.png

7.switch节点没问题了,接下来就是还原 控制流了,但是在还原控制流之前,需要做一些预处理,比如还原逗号表达式,将多重嵌套的赋值语句提取出来:

x[d = d.split("").reverse().join("")]("");
......
var v = "b",l = x[p = (p += "oLtes").split("").reverse().join("")][v += "ind"](x),u = "c";

还原成:

d = d.split("").reverse().join("");
x[d]("");
......
var v = "b";
p += "oLtes";
p = p.split("").reverse().join("");
v += "ind";
var l = x[p][v](x);

总之,再去控制流之前,把一些能处理的节点,优先给他处理掉,主要是为了能使用星球里的九大节点合并算法。

8.接下来就是去除控制流的虚假分支了,大量充斥着这样的代码:

case 10561:
            go = 3;
            xe = 3 * go;
            Fo = xe > -74;
            i(38, ye, x, i, !0, V, !0);
            Si = Fo ? 22049 : 1573;
            break;

这里的Fo恒为 true,因此,可以改写成这样:

case 10561:
            go = 3;
            xe = 3 * go;
            Fo = xe > -74;
            i(38, ye, x, i, !0, V, !0);
            Si = 22049;
            break;

其他的节点是否也是如此呢?请大家自行验证。

9.接下来就是真正的去除控制流了,使用九大节点合并算法,处理后,还剩 34 个case没有被还原:

4a2bc41d07ef7b03a0890693d1bdfc12.png

为啥没有被还原,分析了一下,原来是 一个循环里面的代码太多,合并算法不适用,因此,需要想个方法来让它适用。

case 4452:
            Si = eo >= 0 ? 26306 : 12289;
            break;
 ......
 
  case 14752:
            m = 0 === S;
            if (m) {
              m = 0 === j;
            }
            f = m;
            if (f) {
              f = 0 === A;
            }
            m = f;
            Si = m ? 22880 : 13858;
            break;
 
  case 22880:
            eo--;
            Si = 4452;
            break;

分析上面的代码,其实可以合并成这样:

不适用,因此,需要想个方法来让它适用。


  case 4452:
            Si = eo >= 0 ? 26306 : 12289;
            break;
 ......
 
  case 14752:
            m = 0 === S;
            if (m) {
              m = 0 === j;
            }
            f = m;
            if (f) {
              f = 0 === A;
            }
            m = f;
            if(m)
            {
              eo--;
              continue;
            }
            Si = 13858;
            break;
 
  case 22880:
            eo--;
            Si = 4452;
            break;

像这样的节点可以找规律写代码合并。这样处理后,再使用 九大节点合并算法在处理一次,就可以完全还原了。

c9b3c336d5d8d1282eb4a298bd625c4e.png

还剩 8个 case,这就无关紧要了。

10.接下来合并字符串了,代码中有大量类似下面的代码:

var T = "167,xspulrlrlsx";
    var L = "";
    var D = 0;
    while (D < T["length"]) {
      var _ = 66 ^ T["charCodeAt"](D);
      L += String["fromCharCode"](_);
      D++;
    }

可以说,非常的多,它其实可以被计算出来具体的值,并进行合并替换:

var L = 'stun:127.0.0.1:';

上面的代码就缩减成了一行,可以所非常的爽!

11.紧跟着,就是赋值语句的还原了,因为是反复被赋值,没法用binding来处理,可以试试星球里的脚本:

be = "<br>";
Se = be;

还原后:

be = "<br>";
Se = "<br>";

12.上面的代码处理后,还可以进一步处理,比如删除 be 这个语句变成:

Se = "<br>";

当然,这需要视情况而定。

还原后的代码如下:

b7c870b04223b31e9774bd61fe215684.png

拿到网上替换调试:

da9344d8164037fe91eb89ace77b6763.png

还原到这里基本就差不多了,还有一些小的混淆代码可以处理,不再本文中讲述。

悦来客栈的老板
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
阿里云使用方法123456
09-14
阿里云使用方法123456
AST还原实战|某reese84参数混淆代码还原分析
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
07-28 2255
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1. 需求分析最近关于 reese84 参数的需求比较旺盛,主要是因为某个购票网站吧。目标网站:https://www.flyscoot.com/en抓包可以看到有一个混淆代码的js:它由两个自执行函数组成,第二段混淆代码看变量名即可猜出是ob混淆,直接拿ob混淆...
一. Ast - 混淆(基础篇)
2401_84054263的博客
05-14 1215
AST是抽象语法树的缩写。AST是一种用于表示程序代码结构的树状数据结构。在编译器和解释器中,AST被用于解析和表示源代码的语法结构AST可以看作是源代码的一种抽象表示形式,它去除了源代码中的具体细节,只保留了语法结构和逻辑关系。AST中每个节点(Node) 表示源代码的一个语法元素,例如:变量声明,函数定义,循环语句,等,而节点之间的关系表示了语法结构的层次和关联关系作用:通过构建AST,编译器和解析器可以对源代码进行分析和处理编译器可以在AST上进行语法检查、类型检查和优化等操作。
使用 AST语法树分析与修改Javascript 代码
最新发布
Python技术探索
06-18 1056
本文介绍了 AST抽象语法树技术原理,使用场景(自动化修改代码,逆向分析等,常用AST解析库,使用jscodeshift来解析javascript 代码,以实例代码方式实现查找并修改函数名称、函数调用名.
x82y x5sec 1688 淘宝滑块 阿里滑块226
qq_36490057的博客
08-01 1561
x82y x5sec 1688 淘宝滑块 阿里225解决方法。已经封装成api 需要可d。
爬虫 JavaScript 逆向进阶!利用 AST 技术还原混淆代码
静觅
05-08 3534
这是「进击的Coder」的第 617篇技术分享作者:K 小哥来源:K 哥爬虫“ 阅读本文大概需要 47分钟。 ”目录文章较长,可作为 AST Babel 入门手册,强烈建议收藏!什么是 ASTAST(Abstract Syntax Tree),中文抽象语法树,简称语法树(Syntax Tree),是源代码的抽象语法结构的树状表现形式,树上的每个节点都表示源代码中的一种...
某里滑块226逆向记录
shen1018891221的博客
07-24 6304
阿里滑块226逆向记录
阿里226滑块
qq_44657571的博客
09-21 2692
阿里226
AST入门与混淆初体验
自成背后的博客
02-02 1729
AST入门体验
【JavaScript 逆向】AST 技术混淆
热门推荐
Yy_Rose的博客
04-24 1万+
JavaScript 常见混淆技术类型,及如何使用 AST 技术混淆,通过 javascript-obfuscator 库混淆 JavaScript 代码
AST混淆js还原工具2.2(20230203)
02-03
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.混淆后尽量接近源码的可读性 介绍 1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多...
AST混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫...
AST混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.针对最新的https://obfuscator.io/混淆规则...
AST混淆js还原工具2.3(20231219)
12-19
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.混淆后尽量接近源码的可读性 介绍 01 功能优化:删除if中的假分支,修改不兼容的部分 02 新增功能:对解密函数的二次封装,提取所有二次封装的函数名称...
JS混淆还原工具
07-05
总之,JS混淆还原工具通过AST分析等技术帮助开发者理解并恢复混淆的JavaScript代码,虽然并非所有混淆都能完全还原,但它对于调试和维护混淆代码提供了可能。在实际工作中,正确选择和使用这些工具,可以显著提升...
阿li226滑块
qq_40979337的博客
09-20 2079
等等 挂上代理补就行了 没啥需要特别注意的东西 补完环境也不多 我也就500行左右。最后可以生成 需要注意的是 出值之后代码仍会运行卡住 所以这里我。在执行这段代码的时候 这里初始化了一个a数组。我们把代码扣下来 补点环境看看 随便贴点。a数组里面就会有一些环境值 以及轨迹信息。然后传了一个对象进去 就会生成226。会到这个fireyejs.js里面。当滑块滑到正确位置后。
AST混淆实战|找出某里滑块226混淆代码隐藏的字符串
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
10-25 306
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1. 常见的字符串在还原控制流之后,接下来的动作就是还原字符串了,在混淆代码中,可以看到类似这样的代码:var f = "\u01de\u01dc\u01d1\u01d1"; var m = ""; var b = 0; while (b < f.lengt...
阿里滑块x5sec 226算法分析
threadroc的专栏
10-25 3265
js逆向,爬虫,阿里滑块x5sec 226算法分析
ast混淆js还原工具
06-27
### 回答1: ast混淆JS还原工具是一种强大的工具,可以帮助程序员和安全研究人员解决混淆的JavaScript问题。该工具的原理是通过解析抽象语法树(AST)来还原混淆的JavaScript代码,从而让代码恢复其原有的结构和逻辑。 AST混淆JS还原工具的优点是可以解决常见的混淆技术,如变量名替换、函数名替换、控制流混淆等。同时,该工具还支持多种JavaScript框架和库,可以有效避免由于第三方库混淆而导致的代码不可读性问题。 但是,需要注意的是,AST混淆JS还原工具并不能完全解决所有的混淆问题。在某些情况下,可能需要手动修改代码或使用其他工具进行修复。此外,该工具也可能会导致一些性能问题,特别是在处理大型JavaScript代码时。 总的来说,AST混淆JS还原工具是一种非常有用的工具,可以帮助开发人员和安全研究人员节省大量时间和精力。但是,使用该工具还需要仔细考虑其适用性和局限性。 ### 回答2: AST混淆JS还原工具是一种专门用于还原JavaScript代码的工具。AST是抽象语法树的缩写,它是一种能够把代码转换成树形结构的工具。在JavaScript中,所有的代码都是由AST表示的。因此,混淆代码实际上是对AST进行混淆,而混淆工具就是通过分析混淆后的AST还原出原始代码AST混淆JS还原工具有很多种,它们主要使用了一些静态和动态分析技术。静态分析就是直接分析混淆代码,从中找到解密算法和加密密钥等关键信息,并使用这些信息来解密代码。动态分析则是通过模拟代码的运行环境来解密代码,在代码运行时注入一些代码片段,以便找到解密算法和密钥。 无论是静态分析还是动态分析,AST混淆JS还原工具都需要在很多方面投入时间和精力。首先,它们需要分析混淆代码的结构,找出其中的规律,并将其还原AST中。其次,它们需要处理各种类型的混淆,包括命名混淆、结构混淆代码混淆等。最后,它们需要使用一些优化技巧来提高还原的效率和准确性。 总之,AST混淆JS还原工具是一种强大的混淆技术,它可以用于提高代码的安全性和保护知识产权。但需要注意的是,还原工具不应该被用于不道德的行为,如盗版或攻击等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值