初试JSVMP（网洛者第七题）

---

声明：本文只作学习研究，禁止用于非法用途，否则后果自负，如有侵权，请告知删除，谢谢！

前言

前面一直在看关于一些jsvmp的文章去研究，但是奈何脑袋不太灵光，最近才摸明白了一点（算是入了个门），
就准备详细的写一些，就算是做个总结啦。后面也准备去研究其他较为困难的，欢迎大佬们一起来交流啊。

---

目标网址：aHR0cDovL3NwaWRlci53YW5nbHVvemhlLmNvbS9jaGFsbGVuZ2UvNw==

1.基础条件

多多调试一下，按照远哥的所讲的，下条件断点可以选择内置函数，无法被混淆的一些函数，然后看输出结果。还可以在循环入口处下断，输出一些关键的东西。当然至于jsvmp是啥，就劳烦大佬们，自己去搜一搜，我也并不太懂。

2.入口函数

一般而言，好像在jsvmp中都是一个函数覆盖全部，所以入口函数这点就非常关键啦，有可能隐藏着一些函数的名字和所需要的参数。这个是重点，也是我最开始下断的重点。

直接右键永不在这点暂停就可以了。

这里就是入口函数了，就先看看每次过这点有哪些参数生成。


可以看到这里有我们需要的signature的生成，同时在上一张的图片里面可以看到生成signature的函数
window.byted_acrawler(window.sign())

而window.sign() 出来的结果一看就有点像时间戳，可以自己去转换一下，发现就是时间戳。那我们的目标就很明确了就是window.byted_acrawler这个函数传入时间戳就会生成我们需要的结果了。

---

前文已经说了入口函数是一个很关键的地方，在本次案例中，入口函数涉及到了函数名称和函数的参数，同时在参数这点上我们在最开始的参数输出，会看到其中有很多数字

说明这个最后的结果和这些数字有关系，同时还有函数虽然名字都是y__,但是我们可以猜测，是否在调用这个函数的时候有什么区别点，因为可以知道所有的函数都是经过这个y__，那其中可能就含有标志他是什么具体函数的操作。当然有这个思考，是因为我做完这个案例后反思的，最开始也是什么都不知道，都是建立在完成后，有了清晰的思路后，进一步摸索的。

3.入口函数进一步探索

我就一步到位，都是在入口函数摸索出来的，先把入口函数怀疑的一些变量，全部输出来看看，看是否有什么熟悉的东西。


在613 和 616 这两行就有我提到的函数名称和参数

对整个函数分析，发现 V(u, v[2], V) 就是整个函数输出结果，这个也是我们应该输出的，但是这里有个坑。后面再说，先把函数名和参数输出来给大伙看看。

可以看到这个有些很熟悉的字符md5，所以就可以猜测这个是不是md5加密呢，那就可以去验证一下（大伙可以去试一试md5加密和本案例中加密同样字符看结果是否一样，我这里就不去了）。验证后，发现是对不上的，那我们就可以继续猜测是否对md5算法进行魔改，或者其中还加上了其他的算法呢，当然可能还有其他的可能嗷。具体的后文再细讲。
通过前面的输出来参数和函数名，再来看看怎么找到它的结果。
前面也留下了一个关于输出结果的坑,

在这里我再调用方法md5_cmn时下个条件断，然后进入到后面，也很正常的得到了我们输出结果，按照常理在这点输出结果值，就是一件很完美的事情啊，因为整个流程下来，有了函数名，有了参数，同时还有了结果，计算这个算法中途怎么改，我们都能很好的找到他修改的地方。可是呢，我们去实践一下，能更好的体会一下。
这是刷新网页后报的错误

这是下断后，调用函数的结果

至于为什么会出现这样的错误，是因为我们条件断下得有问题，因为我们相当于重复执行了一边这个函数，就会打乱整个执行的流程，因为jsvmp执行到相应的流程是有相当于一个标志或者索引值的。通俗一点来讲就是，原本是排队领东西一人一份，突然有人重复领取了一份，就会导致后面有人领不到，一切顺序就乱了。所以这点下结果的条件断时和不明智的，那我们就需要去找找其他的地方，这就需要进入这个函数，然后找那种，把结果赋值给一个变量，或者重复执行这段代码不会改变整个流程。当然我想到可能，在执行前直接拦截这个js文件，然后修改输出结果这个地方，先把它赋值给一个常量，在返回这个常量。大伙有兴趣可以去试一试，我还没去实践过。
那就继续找找输出结果的地方吧。最后我找到这一行。



这里有个弊端，是因为找的这个结果输出的地方是在方法和参数前面先输出出来的，可能还是最佳的输出位置没找到，但我感觉应该一个最佳的位置，大伙可以去找找试一试嗷。
那么到这我们最开始在入口函数的研究也就到一个段落啦，我们已经拿到了函数名，参数，结果。那就可以去分析算法了。

4. 其他的一些有趣的地方

再找结果输出的时候，总避免不了发现一些深入一点的东西。我最开始就有一个疑惑，既然你有函数，那你是怎么实现这个函数的功能的呢，而且其中也是涉及一些关于数的运算？
当我看到这一点时我就发现不对劲了。

看上面268行，这里有一长串关于运算的东东，那么这点也很可能和函数内部计算有关啊，那我们以后没思路的时候，是否也可以从这点入手，逆向分析回去呢？大伙可以去实践一下呢。然后，再看下面

这里也是一个函数内部参数计算后有结果但又要多次计算的地方，看一下效果呢。

看起来，感觉有些臃肿，不过也是为了解决自己的疑惑，进一步的探索罢了。下面就进入整体算法对比分析

5.算法对比

因为md5算法有好几个版本，如果版本和案例中不一样的话，那工程量就更大了，需要去猜测和验证的地方也就更多了啊。

var hexcase = 0;
var b64pad  = "";
var chrsz   = 8;

function hex_md5(s){ return binl2hex(core_md5(str2binl(s), s.length * chrsz));}
function b64_md5(s){ return binl2b64(core_md5(str2binl(s), s.length * chrsz));}
function str_md5(s){ return binl2str(core_md5(str2binl(s), s.length * chrsz));}
function hex_hmac_md5(key, data) { return binl2hex(core_hmac_md5(key, data)); }
function b64_hmac_md5(key, data) { return binl2b64(core_hmac_md5(key, data)); }
function str_hmac_md5(key, data) { return binl2str(core_hmac_md5(key, data)); }



function core_md5(x, len)
{
  x[len >> 5] |= 0x80 << ((len) % 32);
  x[(((len + 64) >>> 9) << 4) + 14] = len;

var a =  1732584193;
  var b = -271733879;
  var c = -1732584194;
  var d =  271733878;

for(var i = 0; i < x.length; i += 16)
  {
    var olda = a;
    var oldb = b;
    var oldc = c;
    var oldd = d;

    a = md5_ff(a, b, c, d, x[i+ 0], 7 , -680876936);
    d = md5_ff(d, a, b, c, x[i+ 1], 12, -389564586);
    c = md5_ff(c, d, a, b, x[i+ 2], 17,  606105819);
    b = md5_ff(b, c, d, a, x[i+ 3], 22, -1044525330);

    a = md5_ff(a, b, c, d, x[i+ 4], 7 , -176418897);
    d = md5_ff(d, a, b, c, x[i+ 5], 12,  1200080426);
    c = md5_ff(c, d, a, b, x[i+ 6], 17, -1473231341);
    b = md5_ff(b, c, d, a, x[i+ 7], 22, -45705983);

    a = md5_ff(a, b, c, d, x[i+ 8], 7 ,  1770035416);
    d = md5_ff(d, a, b, c, x[i+ 9], 12, -1958414417);
    c = md5_ff(c, d, a, b, x[i+10], 17, -42063);
    b = md5_ff(b, c, d, a, x[i+11], 22, -1990404162);

    a = md5_ff(a, b, c, d, x[i+12], 7 ,  1804603682);
    d = md5_ff(d, a, b, c, x[i+13], 12, -40341101);
    c = md5_ff(c, d, a, b, x[i+14], 17, -1502002290);
    b = md5_ff(b, c, d, a, x[i+15], 22,  1236535329);

    a = md5_gg(a, b, c, d, x[i+ 1], 5 , -165796510);
    d = md5_gg(d, a, b, c, x[i+ 6], 9 , -1069501632);
    c = md5_gg(c, d, a, b, x[i+11], 14,  643717713);
    b = md5_gg(b, c, d, a, x[i+ 0], 20, -373897302);

    a = md5_gg(a, b, c, d, x[i+ 5], 5 , -701558691);
    d = md5_gg(d, a, b, c, x[i+10], 9 ,  38016083);
    c = md5_gg(c, d, a, b, x[i+15], 14, -660478335);
    b = md5_gg(b, c, d, a, x[i+ 4], 20, -405537848);

    a = md5_gg(a, b, c, d, x[i+ 9], 5 ,  568446438);
    d = md5_gg(d, a, b, c, x[i+14], 9 , -1019803690);
    c = md5_gg(c, d, a, b, x[i+ 3], 14, -187363961);
    b = md5_gg(b, c, d, a, x[i+ 8], 20,  1163531501);

    a = md5_gg(a, b, c, d, x[i+13], 5 , -1444681467);
    d = md5_gg(d, a, b, c, x[i+ 2], 9 , -51403784);
    c = md5_gg(c, d, a, b, x[i+ 7], 14,  1735328473);
    b = md5_gg(b, c, d, a, x[i+12], 20, -1926607734);

    a = md5_hh(a, b, c, d, x[i+ 5], 4 , -378558);
    d = md5_hh(d, a, b, c, x[i+ 8], 11, -2022574463);
    c = md5_hh(c, d, a, b, x[i+11], 16,  1839030562);
    b = md5_hh(b, c, d, a, x[i+14], 23, -35309556);

    a = md5_hh(a, b, c, d, x[i+ 1], 4 , -1530992060);
    d = md5_hh(d, a, b, c, x[i+ 4], 11,  1272893353);
    c = md5_hh(c, d, a, b, x[i+ 7], 16, -155497632);
    b = md5_hh(b, c, d, a, x[i+10], 23, -1094730640);

    a = md5_hh(a, b, c, d, x[i+13], 4 ,  681279174);
    d = md5_hh(d, a, b, c, x[i+ 0], 11, -358537222);
    c = md5_hh(c, d, a, b, x[i+ 3], 16, -722521979);
    b = md5_hh(b, c, d, a, x[i+ 6], 23,  76029189);

    a = md5_hh(a, b, c, d, x[i+ 9], 4 , -640364487);
    d = md5_hh(d, a, b, c, x[i+12], 11, -421815835);
    c = md5_hh(c, d, a, b, x[i+15], 16,  530742520);
    b = md5_hh(b, c, d, a, x[i+ 2], 23, -995338651);

    a = md5_ii(a, b, c, d, x[i+ 0], 6 , -198630844);
    d = md5_ii(d, a, b, c, x[i+ 7], 10,  1126891415);
    c = md5_ii(c, d, a, b, x[i+14], 15, -1416354905);
    b = md5_ii(b, c, d, a, x[i+ 5], 21, -57434055);

    a = md5_ii(a, b, c, d, x[i+12], 6 ,  1700485571);
    d = md5_ii(d, a, b, c, x[i+ 3], 10, -1894986606);
    c = md5_ii(c, d, a, b, x[i+10], 15, -1051523);
    b = md5_ii(b, c, d, a, x[i+ 1], 21, -2054922799);

    a = md5_ii(a, b, c, d, x[i+ 8], 6 ,  1873313359);
    d = md5_ii(d, a, b, c, x[i+15], 10, -30611744);
    c = md5_ii(c, d, a, b, x[i+ 6], 15, -1560198380);
    b = md5_ii(b, c, d, a, x[i+13], 21,  1309151649);

    a = md5_ii(a, b, c, d, x[i+ 4], 6 , -145523070);
    d = md5_ii(d, a, b, c, x[i+11], 10, -1120210379);
    c = md5_ii(c, d, a, b, x[i+ 2], 15,  718787259);
    b = md5_ii(b, c, d, a, x[i+ 9], 21, -343485551);

    a = safe_add(a, olda);
    b = safe_add(b, oldb);
    c = safe_add(c, oldc);
    d = safe_add(d, oldd);
  }
  return Array(a, b, c, d);

}

function md5_cmn(q, a, b, x, s, t)
{
  return safe_add(bit_rol(safe_add(safe_add(a, q), safe_add(x, t)), s),b);
}
function md5_ff(a, b, c, d, x, s, t)
{
  return md5_cmn((b & c) | ((~b) & d), a, b, x, s, t);
}
function md5_gg(a, b, c, d, x, s, t)
{
  return md5_cmn((b & d) | (c & (~d)), a, b, x, s, t);
}
function md5_hh(a, b, c, d, x, s, t)
{
  return md5_cmn(b ^ c ^ d, a, b, x, s, t);
}
function md5_ii(a, b, c, d, x, s, t)
{
  return md5_cmn(c ^ (b | (~d)), a, b, x, s, t);
}
function core_hmac_md5(key, data)
{
  var bkey = str2binl(key);
  if(bkey.length > 16) bkey = core_md5(bkey, key.length * chrsz);

var ipad = Array(16), opad = Array(16);
  for(var i = 0; i < 16; i++)
  {
    ipad[i] = bkey[i] ^ 0x36363636;
    opad[i] = bkey[i] ^ 0x5C5C5C5C;
  }
  var hash = core_md5(ipad.concat(str2binl(data)), 512 + data.length * chrsz);
  return core_md5(opad.concat(hash), 512 + 128);
}
function safe_add(x, y)
{
  var lsw = (x & 0xFFFF) + (y & 0xFFFF);
  var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
  return (msw << 16) | (lsw & 0xFFFF);
}
function bit_rol(num, cnt)
{
  return (num << cnt) | (num >>> (32 - cnt));
}
function str2binl(str)
{
  var bin = Array();
  var mask = (1 << chrsz) - 1;
  for(var i = 0; i < str.length * chrsz; i += chrsz)
    bin[i>>5] |= (str.charCodeAt(i / chrsz) & mask) << (i%32);
  return bin;
}

function binl2str(bin)
{
  var str = "";
  var mask = (1 << chrsz) - 1;
  for(var i = 0; i < bin.length * 32; i += chrsz)
    str += String.fromCharCode((bin[i>>5] >>> (i % 32)) & mask);
  return str;
}
function binl2hex(binarray)
{
  var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
  var str = "";
  for(var i = 0; i < binarray.length * 4; i++)
  {
    str += hex_tab.charAt((binarray[i>>2] >> ((i%4)*8+4)) & 0xF) +
           hex_tab.charAt((binarray[i>>2] >> ((i%4)*8  )) & 0xF);
  }
  return str;
}
function binl2b64(binarray)
{
  var tab = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
  var str = "";
  for(var i = 0; i < binarray.length * 4; i += 3)
  {
    var triplet = (((binarray[i   >> 2] >> 8 * ( i   %4)) & 0xFF) << 16)
                | (((binarray[i+1 >> 2] >> 8 * ((i+1)%4)) & 0xFF) << 8 )
                |  ((binarray[i+2 >> 2] >> 8 * ((i+2)%4)) & 0xFF);
    for(var j = 0; j < 4; j++)
    {
      if(i * 8 + j * 6 > binarray.length * 32) str += b64pad;
      else str += tab.charAt((triplet >> 6*(3-j)) & 0x3F);
    }
  }
  return str;
}

function get_sign(){
  var _time = Date.parse(new Date())
  return hex_md5(_time)
}
//调用 hex_md5(传入的字符串)

这就是我在网上找的，也很好找到啦。

对比算法，顾名思义就是一步一步对比

第一个方法就是hex_md5 当然这个结果是不正确的
其下的方法就是 str2binl 在上那个md5方法中调用，然后看看结果。
下面我就直接一步到错误的地方啦。


可以看到这两处就是修改后的地方啦，修改后就成功啦。
当然只是因为这个案例较为简单，改动的地方比较少，可能在实际案例中修改的地方可能有很多，加密算法也是多样化的，那么熟悉算法阔能会更快一些，当然如果是魔改的的算法的话，那就真的费时间。不过也可以采取补环境和jsrpc方法得到结果。
好啦，终于完结啦。啊啊啊嗷嗷嗷

6.其他大佬文章推荐

1.十一姐yyds
2.很详细滴
3.k哥的其中的方法很亮眼