逆向JS分析实战某违规网站3--还原混淆2

最新推荐文章于 2024-08-04 16:33:59 发布
最新推荐文章于 2024-08-04 16:33:59 发布
阅读量496 收藏
点赞数
文章标签: javascript notepad++ 开发语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40081339/article/details/131140923
版权

在“逆向JS分析实战某违规网站3–还原混淆1”中,已分析并成功找到目标 js 文件vod.js,并在vod.js中找到了目标代码

_0xeb9911 = _0x43f960 + '/' + _0x2ef354[0x0] + '/' + _0x2ef354[0x1] + '/' + _0x2ef354[0x2] + _0x1f08('‮55', 'Re[3') + _0x2ef354[0x3] + _0x1f08('‫56', 'aGPI') + _0x2ef354[0x4];

从这种不直观的表达式来看,明显就是进行了混淆处理,但是混淆的力度不大,算是意思意思混淆一下。而这章的目标就是还原该表达式。

注意:资源网页的网页源代码 保存在 B.html 中。

对整个js文件中,_0xeb9911涉及到的参数及这些参数的赋值,其实就如下图所示的范围

在这里插入图片描述
把这些代码拷贝进Notepad++中,我们可以看到一个关键的_0x1f08函数,这个函数的作用可以理解为一个解密函数,把传入的参数经过计算后返回对应的明文。当然这个函数也起到了一定的混淆作用,使到逆向人员不能轻松通过明文关键词来找到相关信息。

在这里插入图片描述
在同一个js文件中就能找到这个函数源码

在这里插入图片描述
去分析这个函数代码不是不行,但是很费时和精力,作为一个懒人来说,是不可能做这种事。既然网页都能使用F12了,那就直接让浏览器来运行_0x1f08函数,从而把得到的函数返回结果进行回填即可。

在此之前我们要做些准备工作,vod.js文件的全称是vod.js?v=一串随机数字,所以每次刷新网页,vod.js的全称都是不一样的,但每个vod.js的内容是一样的,而浏览器只会加载最新的vod.js,因此在旧的vod.js加断点是没办法进行调试的。

此时第一步要解决的是什么时候把最新的vod.js加载进来?
我们刷新下网页(此时Fiddler仍旧开着),然后不做其他操作,只观察

在这里插入图片描述

在这里插入图片描述
这时,可以看到vod.js其实是已经加载进来了,说明vod.js生成的时机是比执行(function anonymous(){Function(arguments[0]+"bugger")()})还要早。所以我们要找个比vod.js更早执行的 js 且是固定名称的 js文件。

按照程序都是从上到下执行的特性,符合条件的是 dplayer.min.js 和 tj_vod.js 这两个文件。

在这里插入图片描述
在这里插入图片描述
由上图可看出 tj_vod.js 是个空文件,而 dplayer.min.js 是有内容的,所以我们把参考目标设为 dplayer.min.js 。

第二步在参考js下断点,然后进行调试。
在“预览”的代码是无法下断点的,因此要在“来源”面板的代码下断。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如图所示,我选择在 dplayer.min.js 的第一行代码和最后一行代码下断,以便我们快速调试。

下好断点后,直接刷新网页,可以看到程序在 dplayer.min.js 的第一行代码断下来了,且此时(function anonymous({Function(arguments[0]+"bugger")()})还没执行,“网络”界面中 vod.js 也还没出现。

在这里插入图片描述
在这里插入图片描述
那我们继续执行脚本(F8),可以看到程序去到 dplayer.min.js 第二断点。

在这里插入图片描述

接着点击进入下一个函数调用(F11),此时就去到了dplayer.html?v=1的界面。

在这里插入图片描述

把这代码和 B.html 的网页源代码一对比,我们不难发现源代码也有相同的地方。

在这里插入图片描述
在这里插入图片描述
所以第三步对 B.html 的网页源代码进行修改。
参考dplayer.html?v=1的代码,在 B.html 的网页源代码进行修改。

在这里插入图片描述
那vod.js?v=多少呢?使用跳过下一个函数调用(F10)来继续调试程序,直到 vod.js 出现,并观察出现的vod.js叫什么名字。
在这里插入图片描述
上图明显可以看出,经过几个js文件出现后,vod.js也出现了,那我们就可以直接复制这个vod.js 文件的名称并对 B.html 的网页源代码进行再一步修改。

在这里插入图片描述
在这里插入图片描述
修改并保存 B.html 后,把在dplay.min.js中下的断点去掉,然后在
vod.js?v=0.3507995514310325formatted的第一行代码和第351行代码下断点。

在这里插入图片描述
在这里插入图片描述
接着关闭刚才打开的 js 文件,然后重新刷新网页。

在这里插入图片描述
在这里插入图片描述
可以看到程序在vod.js?v=0.3507995514310325formatted的断点处停下来了。到此调试前的准备工作已完成

下面以此代码为例进行调试。
var _0x2ff936 = _0x1f08('‮45', 'HFRO');
该代码位于第354行,因此把程序运行到第355行,然后即可查看_0x1f08函数返回给 _0x2ff936的值。

在这里插入图片描述
在这里插入图片描述

依次操作,即可得到以下结果:
在这里插入图片描述

然后稍微处理下便可得到下图结果:
在这里插入图片描述
从图中的第24行可看出_0xeb9911的表达式已经还原成我们能看懂的样子,是和抓包得到链接地址是一致的。

到此,就已成功还原_0xeb9911。

总结:
1、对于变化名称的 js 文件,要善于寻找参考 js 文件,然后对网页源代码进行修改,使变化名称的目标 js 文件变成固定名称,从而让我们方便调试目标 JS 文件。
2、这个网页的混淆仍算仁慈,还留有可视字符作为关键词进行搜索,但如果把地址全混淆,关键词便会失去作用。你又会如何入手分析?

脱壳潜行者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JS反调试&无限DEBUGGER
底层码农
08-22 1769
JS反调试&无限DEBUGGER
逆向JS分析实战违规网站2--反反调试案例分析
qq_40081339的博客
06-05 816
而当我们爬取某个资源的播放页面时,发现又出现首页同样的反调试保护,那逆向的思路就不言而喻了,但当我们使用“逆向JS分析实战违规网站1”的方法进行处理后,再次打开F12并刷新页面。既然这里下的断点帮不了我们,只能先看看“调用堆栈”的代码执行顺序来捋一捋逻辑,看看能否找到有用的突破口。接着点击继续执行,此时程序能继续运行,且没有被反调试函数拦截下来,说明资源页的反调试成功跳过了。反调试是层层调用,如果最后一层无法绕过,千万不要在一棵树上死磕,此时可以尝试通过 “下断,然后刷新页面,如下图。
2024最新版JavaScript逆向爬虫教程-------基础篇之无限debugger的原理与绕过
Amo Xiang的博客
05-08 2833
本文讲解了无限 Debugger 的绕过方案,包括禁用全局断点、条件断点、替换原始文件等,从这些操作中我们也可以学习到一些 JavaScript 逆向的基本思路,建议好好掌握本文内容。
JavaScript中的Function对象以及arguments对象详解
骑着毛驴的小猴子
08-27 809
一、函数本质 函数本质上就是对象,函数名指向函数对象。 function f(){ return 123; } var num = f(); var x = f; console.log(typeof f); //function 二、创建函数(共3种方法) 直接使用function关键字声明新的函数 function f1(){} 使用Function对象创建 var f2 = new
常见Bugger篇章一
tolode的博客
05-08 435
第一次写博客,一时没想到写什么好,写了几个常见的Bugger,希望对大家有所帮助,以下列举部分仅个人结论,仅供参考。希望大家一起探讨。 400:cookie缓存作怪,清空即可 答:百度了一下,发现http Status 400这个错误大多是因为,jsp的form表单提交的字段类型和后台接收字段类型不匹配造成的(例如,form中为String,后台接收为Integer) ...
vue结合vod-js-sdk-v6上传视频到腾讯云点播组件
前端开发者
08-21 1万+
vue结合vod-js-sdk-v6上传视频到腾讯云点播组件 简介 业务需求,vue结合vod-js-sdk-v6上传视频到腾讯云点播组件 主要依赖说明 (先安装,步骤略) { "element-ui": "2.11.1", "vue": "^2.6.10", "vue-router": "^3.0.1", "vod-js-sdk-v6": "^1.2.3"...
Python-Python3爬虫实战JS加解密逆向教程
08-10
本教程"Python-Python3爬虫实战JS加解密逆向教程"聚焦于如何处理JavaScript加密和混淆的数据,以便在爬虫过程中获取有效信息。这通常涉及到对前端JavaScript代码的理解、逆向工程以及加解密算法的应用。下面,我们将...
ob-decrypt:ob混淆还原工具,欢迎star!
04-11
一、ob混淆网站 ob混淆特征: // 开头一个大数组 var _0xa441 = ['\x49\x63\x4b\x72\x77\x70\x2f\x44\x6c\x67\x3d\x3d', ···] // 自执行函数对数组进行位移 (function (_0x56a234, _0xa44115) { var _0x532345 =...
7天JS逆向实战讲解教程-视频教程网盘链接提取码下载 .txt
03-03
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下。 ...
AST反混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫...
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
JavaScript逆向是指通过分析和理解经过混淆JavaScript代码,以及对代码执行过程的回溯和逆向学习,来揭示代码的真实意图和功能。猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、...
nuxt实现阿里云vod视频上传时候引入vod相关的js时候遇到的坑
qq_43114196的博客
01-22 273
https://blog.csdn.net/qq_37880968/article/details/90373361 这位到老哥用nuxt实现了视频上传的功能,但是我卡在了引入js文件那里,后来弄了挺久,发现是这么引入阿里云的js文件的。 那位老哥的用plugins的方式引入js,我是没成功,有成功的老哥分享一下 ...
解决某网站无法调试的问题(function anonymous( ) { debugger })
热门推荐
qq_39498924的博客
02-23 3万+
Ctrl+F8
js系列教程4-函数、函数参数全解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
08-09 4573
//自定义函数,函数声明,会优先加载。调用函数时会先在本机活动对象中查询,即当前js文件中查询,如果没有才会向上查询,所以在两个js文件中定义相同函数名,js文件内调用各自的函数,其他文件中调用最后声明的函数 function printf(str){ //var hint = document.getElementById("hint"); //根据id获取元素 hin
javascript高级 - argument详解
ruglcc's blog
04-11 1877
1. 什么是 arguments 百度说:arguments 是一个类数组对象。代表传给一个function的参数列表。(读不懂,看下面代码) 先看一段代码: function printArgs() { console.log(arguments); } printArgs("A", "a", 0, { foo: "Hello, arguments" }); 执行结果是: [“A”, “...
牛客JS题(二十一)数组扁平化
最新发布
不起眼小菜菜的博客
08-04 799
注释很详细,直接上代码……
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 658
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
vite静态资源处理,处理vite项目中src和url路径问题
WanweI897的博客
08-02 470
处理vite项目中src和url路径问题
VMProtect逆向分析:寄存器染色与静态还原探索
"VMProtect逆向分析, 静态还原, 寄存器染色, VMP, 逆向工程, 虚拟机保护, 字节码, 汇编转换, 寄存器轮转, 二义性问题" VMProtect是一款强大的虚拟机保护软件,它利用虚拟机技术对目标程序进行保护,将原始的机器码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

脱壳潜行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值