AST反混淆|对reese84一段混淆代码的分析与还原

最新推荐文章于 2024-07-24 11:56:25 发布
最新推荐文章于 2024-07-24 11:56:25 发布
阅读量409 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/139434104
版权

关注它,不迷路。       

本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!

1.混淆代码样本

使用星球里的 reese84 一键还原脚本 还原它的混淆代码后,发现了如下的一些代码:

6c004e6ca00d8d7227b49131406a2072.png

这都是比较相同的混淆,分析起来也很简单。

2.混淆代码特征分析

上面的混淆代码都是同类型的混淆,它具体有如下特征:

  • 它是一个CallExpression类型,实参只有1个;

  • callee子节点都是 FunctionExpression 类型;

  • 函数形参只有一个,函数体语句也只有一条,而是 if语句;

  • 形参在作用域内无变化;

3.还原代码

根据上面的特征,很快就写出了还原代码:

const restoreCallExpressoin =
{
  CallExpression(path) {
    let { parentPath, node } = path;
    if (!parentPath.isExpressionStatement({ "expression": node })) {
      return;
    }


    let { callee, arguments } = node;


    if (!types.isFunctionExpression(callee) || arguments.length != 1 || types.isCallExpression(arguments[0])) {
      return;
    }


    let body = callee.body.body;


    if (body.length != 1 || !types.isIfStatement(body[0])) {
      return;
    }


    let paramsPath = path.get('callee.params.0');


    const binding = paramsPath.scope.getBinding(paramsPath.node.name);


    if (!binding || !binding.constant) {
      return;
    }


    for (let referPath of binding.referencePaths) {
      referPath.replaceWith(arguments[0]);
    }
    path.replaceWithMultiple(body[0])
  }
}


traverse(ast, restoreCallExpressoin);

这里需要注意的是,在替换if语句的时候,需要使用 path.replaceWithMultiple 方法。

完整的reese84混淆还原代码请看星球链接:

https://t.zsxq.com/lvDmB

今天的文章就分享到这里,感谢大家的阅读!

欢迎加入知识星球,学习更多AST和爬虫技巧。

1240fe7ed7f40e18522229a7da0cfe7f.jpeg

悦来客栈的老板
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
reese-tools:SpigotBukkit插件
02-10
**SpigotBukkit插件开发与reese-tools详解** 在 Minecraft 服务器开发领域,Bukkit 和 Spigot 是两个非常关键的框架。Bukkit 是一个允许开发者通过编写插件来扩展 Minecraft 服务器功能的开源项目,而 Spigot 是 ...
Incapsula-Bypass
03-10
仅用于教育目的。 该服务器基于对“虚拟dom” polyfill中的Incapsula JS代码的评估。 步骤1。 GET 头:用户代理:Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 68.0.3440.106 Safari / 537.36逻辑:解析到js的链接封装解析的代码:从_analytics_scr.src ='/ _Incapsula_Resource到'或从src =“ / _ Incapsula_Resource到”没有js代码的链接-验证码/块 第2步。 使用代码获取资源示例链接: ://website.com/_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3标头:用户代
AST混淆进阶|动态的混淆js(reese84)还原后如何替换调试?
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
04-24 627
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.需求有个购买星球的兄弟问静态的混淆js可以还原后替换,但是动态的混淆js还原后就不知道怎么弄了。所以决定写篇文章来探讨一下。2.目标地址这次要拿捏的网站是这个:https://www.flyscoot.com/en它加密参数所在的混淆js是动态的,但是url地...
reese84破解分析流程
qq_60611058的博客
03-29 675
最终生成的然后请求接口获的一个token值也就是cookie["reese84"]=token。会有20个list环境需要根据html的window环境配置信息填补。最后一个S4[20]()会生成一个p值和cr。如有兴趣研究可以:17376323095。还原后部分JavaScript源码。注:请勿用于非法用途。环境填补完成后,引用。
航空爬虫reese84最快捷爬取方法
m0_60655588的博客
07-24 669
爬虫,reese84,阿卡迈,shape
reese84 及___utmvc 逆向流程分析
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
04-12 645
随便搞搞。。自己也是一知半解的。这里做个记录。这里主要搞一下 ___utmvc 和 reese84的cookie流程分析少走了很多弯路。
Imperva incapsula逆向分析
weixin_65690166的博客
12-01 2245
incapsula逆向
Incapsula reese84 分析与破解
hero706309的专栏
12-25 7685
Incapsula reese84
reese84算法还原
m0_61275808的博客
08-30 1205
最近看大佬把那个reese84搞定之后手痒,就尝试也搞一下,打开之后发现那混淆真恶心啊,但是我又不会ast, 所以只能喊人了,解完ast后长这个样。还有fantastic的帮助。搞定 p和cr就好了 ,cr是最后一个返回的。就是说你搞定p了 基本上这个就搞定了
关于Incapsula reese84加密的特征研究
it_chen的博客
09-02 1337
最近研究了下reese84的加密算法,基本上两个参数的加密__utmvc和token,因为nodejs调用会有内存问题,没有采用补环境的方式解决,用python扣的算法。2:reese84中token的生成相对麻烦一点,主要是动态参数比较多,ast处理完之后也很好调试。1:__utmvc参数的生成是一个ob混淆ast处理之后调试难度不是很大。如果有侵权行为请联系博主删除。博主qq:1458342294。
知识星球|AST混淆实战目录索引
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
01-09 1537
AST混淆实战系列索引
Python库 | incapsula-cracker-py3-0.1.4.tar.gz
04-09
资源分类:Python库 所属语言:Python 资源全名:incapsula-cracker-py3-0.1.4.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
reese-power-11ty
03-30
地位Reese Power网站,网址:11ty 基于Stephanie Eckles( )创建的11ty Netlify Jumpstart 有关所有功能的详细信息,请访问或继续并以在本地查看信息。快速开始启动开发环境并运行确保您拥有最新版本的NodeJS(当前...
MySQL权威指南(George Reese 著)
08-31
MySQL权威指南(George Reese 著)_阅读密码www.zasp.net_如需要请购买原版书- cn
Reese Fortnite Skin Wallpapers New Tab-crx插件
04-06
通过下载,您将收到与Reese Fortnite Skin相关的惊人壁纸,以及一些其他功能。 我们的扩展程序可以让您:-用优质的Reese Fortnite Skin墙纸替换新的标签主题。 您甚至可以选择自己喜欢的背景,并且每次打开新标签页...
reese84
qq_44657571的博客
10-30 722
航空reese84
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中.zip
07-31
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中
chromedriver-mac-x64_121.0.6167.184.zip
最新发布
07-31
chromedriver-mac-x64_121.0.6167.184.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值