ast还原ob2-解密函数的执行

最新推荐文章于 2024-02-01 11:40:13 发布
最新推荐文章于 2024-02-01 11:40:13 发布
阅读量292 收藏
点赞数
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sin_0119/article/details/131774355
版权

大家都知道,一个标准的ob混淆主要分成四大部分

  • 大数组(这个很容易就可以看出来哪里是大数组)
  • 自执行函数,里面包含了shift和push这些,用于数组移位,打乱数组顺序的
  • 解密函数(我认为是被调用的次数最多,或者是多重return返回的函数调用的就是这个解密函数) 要好好定位才行
  • 剩下的就是被加密过后的实际调用函数,也就是我们要进行混淆还原的主要对象

首先手动将前三部分按照一定的顺序放到代码的前头,按照大数组,自执行,解密函数这三个顺序进行排列,如图所示:
请添加图片描述
至于为什么确定解密函数是_0x1a4b呢?
请添加图片描述
从上图可以知道,这份代码中也是存在多级return函数的,所以要先进行第一步,过程不再赘述,执行完之后的结果如下:
请添加图片描述
还原之后对解密函数的匹配果然是更多了,足足有101次匹配,这也再一次验证了我的猜测

ok,接下来进入正题,对解密函数的还原,目标如下:请添加图片描述

2.1 将前三部分加载到内存中

只有将大数组,自执行函数和解密函数加载到内存当中之后,才能直接执行解密函数得到调用了解密函数的结果。

先将代码放入到ast网站中来看一看:
请添加图片描述
代码如下:
请添加图片描述
**补充: **加上了前三部分的删除
请添加图片描述
2.2 定位解密函数的调用和还原
请添加图片描述
首先拿到解密函数的函数名,然后通过traverse遍历这个函数的调用即可:
请添加图片描述
结果:
请添加图片描述

sin_0119
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
基于Python的AST极验解密
m0_68754495的博客
02-09 552
很快就能想到,在JS代码里将字符串"AJgjJ.DAi()“逐个匹配出来,拿到括号里的索引数字,然后将数字值传入函数AJgjJ.DAi()计算得到字符串结果,然后将结果替换代码里的字符串"AJgjJ.DAi()”,就实现了还原的目的了。在这里concat()是合并数组的作用,而之后的几行代码调用的方式也都表示这里跟数组有关,通过索引就能取出值来,返回值都是字符串类型。上图是复制到test.js中的代码,通过命令行窗口测试,可以得到网站打断点时测试出来的相同的结果,可以预料到这个代码是能够运行的。
AST解混淆工具v0.3
05-27
ast解混淆工具的第三版,前两版在我的github上,第三版优化内容在使用了多线程,但是处理过大的js时还是会有卡住的情况,在第二版的基础上优化了一下ast代码,添加了部分常用工具 v0.3目前未解决: 应用内说明文档暂时未写 AES标准加解密只写好了界面,功能未实装 AST界面历史记录功能未实装 这些问题将在v0.4版本更新 该程序仅供交流,请确保电脑上存在node.js和bable,否则打开软件会报错,只会影响ast相关功能的使用,不会影响其他小工具的使用 免费软件,请勿进行倒卖,转载请标明开发者,谢谢
AST嵌套解密函数:传参数量混淆+传参乱序混淆+传参加入运算符混淆
weixin_46300291的博客
05-05 787
传参乱序+传参加入运算符 案例代码: // 解密函数 function _0x1313(_0xa597ae, _0x23dcdc) {} _0x1d90d1 = function(_0x4d75b8, _0x6bc281, _0x38b421, _0xc12c0b, _0x4626cc) { return _0x1313(_0x4626cc - 0x164, _0xc12c0b); } _0x18c3fa = function(_0x2a92a3, _0x560b5b, _0x159389,
ast反混淆进阶--大数组解密
jia666666的博客
09-15 2270
实现目的:解密ob混淆大数组-提高阅读性 注意:这里只做大数组解密工作,之后在ast反混淆实战会完整的将整个流程做一遍 来自丁仔介绍文档 ob混淆特征介绍: // 开头一个大数组 var _0xa441 = ['\x49\x63\x4b\x72\x77\x70\x2f\x44\x6c\x67\x3d\x3d', ···] // 自执行函数对数组进行位移 (function (_0x56a234, _0xa44115) { var _0x532345 = function (_0x549d7c)
ob混淆解密在线工具
滕青山博客
10-12 6194
地址: 解混淆测试版V0.1 开头定义了一个大数组,然后对这个大数组里的内容进行位移,再定义一个解密函数。后面大部分的值都调用了这个解密函数,以达到混淆的效果。 这种代码即为ob混淆,不仅变量名混淆了,运行逻辑等也高度混淆,难以理解 ...
AST反混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫...
AST反混淆js还原工具2.2(20230203)
02-03
1.尽量保证原来js文件的可执行性 2.反混淆后尽量接近源码的可读性 介绍 1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0...
json-to-ast:JSON AST解析器
02-03
JSON AST解析器安装> npm install json-to-ast用法const parse = require ( 'json-to-ast' ) ;const settings = { // Appends location information. Default is <true> loc : true , // Appends source information...
AST-Babel-plugin-handbook.md
07-17
AST语法树Babel插件的说明文档,对你理解AST插件写法有指导性说明。
AST-Babel-user-handbook.md
07-17
AST语法树babel向的用户手册,学习Babel的AST的查阅手册。
ob-decrypt:ob混淆还原工具,欢迎star!
04-11
ob混淆还原工具 Author 丁仔 微信公众号 逆向新手 Introduce Python、爬虫、JS逆向 使用说明 一、ob混淆网站 ob混淆特征: // 开头一个大数组 var _0xa441 = ['\x49\x63\x4b\x72\x77\x70\x2f\x44\x6c\x67\x3d\x3d', ···] // 自执行函数对数组进行位移 (function (_0x56a234, _0xa44115) { var _0x532345 = function (_0x549d7c) { while (--_0x549d7c) { _0x56a234['push'](_0x56a234['shift']()); } }; _0x532345(++_0xa44115); }(_0xa441, 0x1d0))
ob-code:基于esprima和NodeJSJavaScript代码混淆器(纯js实现)
05-21
ob-code --- A Javascript code Obfuscator ( Pure Javascript Implement ) 示例 更多示例和文档 稍后奉上
流程反混淆工具DeFlowOb
09-15
对.net程序进行流程混淆,可以进行流程反混淆
【JS逆向】【21.JS混淆】OB混淆(详细讲解)
weixin_43612602的博客
01-10 2681
JS混淆 1. 何为 JS 混淆 变量重命名 函数名混淆 压缩代码 代码打乱 / JS 控制流混淆 2. OB混淆 3. 实战 分析
猿人学第二题,手撕OB混淆给你看(step4-对象调用还原)
小玉的小本本
03-14 663
前情回顾:猿人学第二题,手撕OB混淆给你看(Step1-开篇)猿人学第二题,手撕OB混淆给你看(step2-字符串数字回填)猿人学第二题,手撕OB混淆给你看(step3-函数调用还原)对象调用还原这一章会使用上一章生成的 02_ob_call_function_reload.json文件最终生成一份02_ob_obj_property_reload.js文件和一份 02_ob_obj_property_reload.json 文件上一章,我们已经把_0x434ddb[$dbsm
ob混淆原理与破解方案(1)
最新发布
weixin_52001594的博客
02-01 2920
对于网页来说,其逻辑是依赖于JavaScript来实现的,JavaScriptJavaScript代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript代码是公开透明的,也就是说浏览器可以直接获取到正在运行的JavaScript的源码。JavaScript 混淆完全是在 JavaScript 上面进行的处理,它的目的就是使得 JavaScript 变得难以阅读和分析,大大降低代码可读性,是一种很实用的 JavaScript 保护方案。
AST实战|手把手教你还原ob混淆:ob混淆代码特征
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-24 3455
ob混淆过的代码有那些特征?特征一:大数组 +移位自执行函数 +解密字符串函数。下面的代码是一个之前我在官网上混淆的一个例子:‍可以看到,大数组为变量_0x33fc,移位自执行函数...
某团影视js逆向(ast解混淆)
weixin_48076656的博客
09-20 767
某团影视js逆向(AST解混淆)
某简壁纸(ob混淆,js逆向)
weixin_44772112的博客
09-30 1351
emmm,这是今天在群里摸鱼聊天的时候一位老哥发出来的,最近被某宝app折磨得及其痛苦,就拿这个站来找点信心吧… 网址:aHR0cHM6Ly9iei56enptaC5jbi9pbmRleA== 一、抓包分析 点击翻页的时候,可以看到getData这个包有数据返回,但数据是经过加密的(安澜大佬说过:像这样数据加密的,直接下xhr断点,只要你足够耐心,一直单步,总能找到解密函数~) 二、跟栈分析 这里的话,直接点进图中这个栈就能看到一些很明显的特征 这不就是链接后面的地址吗,在这行下断然后单步跟进去 跟
ast2500a2-gp规格书
08-20
1. 处理器支持:AST2500A2-GP芯片采用高性能的ARM Cortex-A7处理器,能够在低功耗下高效执行任务。 2. 图形处理:芯片内集成的图形处理器能够支持高分辨率的视频输出,提供流畅的图像显示效果。 3. 视频编码解码:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值