NodeJS代码保护:把NodeJS“模块”编译为字节码

最新推荐文章于 2024-08-18 10:36:24 发布
最新推荐文章于 2024-08-18 10:36:24 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: 网络安全 文章标签: node.js javascript 代码加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2sft/article/details/120843372
版权

将NodeJS模块编译为字节码文件,目的,与JS混淆加密相似,也是为了JS代码的安全性,使代码不可阅读。

一、编译模块为字节码

在NodeJS中,与编译一个直接执行的JS文件为字节码不同,如果JS代码是一个模块,有导出函数,是要被其它文件require,那么,它不能直接的调用VM.script编译成bytecode。

例如代码:

exports.hello = function () {
    console.log('Hello');
}

有导出函数是hello,用以下代码编译:

//读取文件
  var code = fs.readFileSync(filePath, 'utf-8');

  //调用v8虚拟机,编译代码
 var script = new vm.Script(require('module').wrap(code));
  //得到字节码,即bytecode
  var bytecode = script.createCachedData();
  
  //写文件,后缀为.bytecode
  fs.writeFileSync(filePath.replace(/\.js$/i, '.bytecode'), bytecode);

特殊之处是module模块的warp方法,它会对代码进行包裹,前面的代码,经warp之后,会成为:

(function (exports, require, module, __filename, __dirname) { exports.hello = function () {
    console.log('Hello');
}

这是必须遵守的约定,然后才能进行编译。

二、加载并调用字节码模块

编译出字节码模块后,自然是require并调用它,方法如下:

const _module = require('module');
const path = require('path');

_module._extensions['.bytecode'] = function (module, filename) {
  
  //读取bytecode式的模块
  var bytecode = fs.readFileSync(filename);

  //设置正确的文件头信息
  setHeader(bytecode, 'flag_hash', getFlagBuf());
  var sourceHash = buf2num(getHeader(bytecode, 'source_hash'));

  //申请空间并放入bytecode
  const script = new vm.Script('0'.repeat(sourceHash), {
    cachedData: bytecode,    
  });

  //bind为输出函数
  const wrapperFn = script.runInThisContext();
  // 这里的参数列表和之前的 wrapper 函数是一一对应的
  wrapperFn.bind(module.exports)(module.exports, require, module, filename, path.dirname(filename));
}

//require字节码模块
const hello = require('./hello.bytecode');
hello.hello();

代码中调用到的几个函数如下:

let _flag_buf;
function getFlagBuf() {
  if (!_flag_buf) {
    const script = new vm.Script("");
    _flag_buf = getHeader(script.createCachedData(), 'flag_hash');
  }
  return _flag_buf;
}

function getHeader(buffer, type) {
  const offset = HeaderOffsetMap[type];
  return buffer.slice(offset, offset + 4);
}

function setHeader(buffer, type, vBuffer) {
  vBuffer.copy(buffer, HeaderOffsetMap[type]);
}

function buf2num(buf) {
  // 注意字节序问题
  let ret = 0;
  ret |= buf[3] << 24;
  ret |= buf[2] << 16;
  ret |= buf[1] << 8;
  ret |= buf[0];

  return ret;
}

重点是bind方法,将函数绑定到某个对象,bind()会创建一个函数,函数体内的this对象的值会被绑定到传入bind()中的第一个参数的值,例如:f.bind(obj),实际上可以理解为obj.f(),

bind(module.exports)则给输出函数进行了绑定。

const hello = require('./hello.bytecode');hello.hello();这段代码的执行效果:

与直接require原始的js文件效果是一致的。

传统的混淆加密,比如JShaman,是把代码变成“乱码”,使代码不能正常阅读理解。而此字节码方式,是把代码变成了非文本模式的二进制格式,于安全的目标而言,两者异曲同工。

w2sfot
关注
专栏目录
NodeJS研究笔记:利用Buffer类的二进制数据读取接口解析ELF文件格式
tyler_download的专栏
04-14 7627
javascript 作为前端开发语言,自古来对二进制数据的读取解析方面的支持都很薄弱,一般来说,解析二进制数据时,往往是将数据转换成字符串,然后运用各种字符串操作技巧来实现二进制数据的读取。由于NodeJS 作为后台服务器开发平台,数理逻辑的设计需求超越javascript作为前端语言时界面UI的设计需求,因此,加强二进制数据的读取功能显得越发重要,幸运的是,NodeJS提供了Buffer类,该类
Bytenode:保护你的Node.js源码的利器
gitblog_00138的博客
08-18 405
Bytenode:保护你的Node.js源码的利器 bytenodeA minimalist bytecode compiler for Node.js项目地址:https://gitcode.com/gh_mirrors/by/bytenode 在当今的软件开发世界中,源代码保护显得尤为重要。无论是为了商业竞争还是为了防止知识产权被侵犯,开发者都需要一种有效的方法来保护他们的劳动成果。Byt...
bytenode:Node.js的最小字节码编译
01-31
字节节点 Node.js的极简字节码编译器。 该工具可以将JavaScript代码真正编译为V8字节码,从而可以保护代码。 它可以与Node.js> = 5.7.x以及Electron和NW.js一起使用(请检查examples/目录)。 安装 npm install --save bytenode 或全球: sudo npm install -g bytenode 已知问题和局限性 在节点10.x中,Bytenode在调试模式下不起作用。 参见 。 任何依赖于Function.prototype.toString函数的代码都会中断,因为Bytenode从.jsc文件中删除了源代码, .jsc放置了一个伪代码。 参见 。 在最新版本的Node中,必须设置--no-flush-bytecode 。 Bytenode在内部进行设置,但是如果遇到任何问题,请尝试使用以下标志运行Node: $ node --no-flush-bytecode server.js 。 参见 。 如果在渲染过程中使用异步箭头功能,则会在Electron应用程序中导致崩溃。 参见 。 字节节点CLI
字节节点(ByteNode):Node.js 的轻量级字节码编译
最新发布
gitblog_00163的博客
08-18 395
字节节点(ByteNode):Node.js 的轻量级字节码编译器 bytenodeA minimalist bytecode compiler for Node.js项目地址:https://gitcode.com/gh_mirrors/by/bytenode 项目介绍 ByteNode 是一个专为 Node.js 设计的简约型字节码编译器。通过此工具,您的 JavaScript 代码能够被...
nodejsJavaScript代码保护
UremSept
07-24 693
nodejsJavaScript代码保护
保护 Node.js 项目的源代码
09-02 761
SaaS(Software as a Service,软件即服务),是一种通过互联网提供软件服务的模式。服务提供商会全权负责软件服务的搭建、维护和管理,使得他们的客户从这些繁琐的工作中解放出来。对于许多中小型企业而言,SaaS 是采用先进技术的最好途径。 然而,对于大型企业而言,情况有所不同。出于产品定制、功能稳定以及掌握自身数据资产等方面的考虑,即使成本增加,他们也更乐意把相关服务部署在企业自己的硬件设备上,也就是常说的私有化部署。 在私有化部署的过程中,服务提供商首先要确保自己的源代码不被泄露,否则
NodeJs 源码保护
11-29 4052
现在 NodeJs 开发 Server 端越来越流行,如果 Server 部署在自己公司的服务器上,那么可以认为环境是相对安全的,不需要做源码保护。但是如果需要在客户方部署,又不希望自己的源码暴露的时候,这个时候就需要源码保护。一般的源码保护方式就是 js 压缩/混淆之类的操作,增加 js 代码的不可读性,或者说是增加破解难度。 本文讨论另一种使用字节码编译 no...
NodeJS生成字节码
itas109的专栏
01-18 2335
NodeJS生成字节码 相关问题: 1.nodejs源码保护 2.nodejs源码加密 3.nodejs提升运行速度 前言 传统的后端运行环境,如 Java、.NET,其源代码是经过编译才部署到服务器上运行的,不存在泄露的风险。而对于应用越来越广泛的 Node.js 而言,运行的则是源代码。即使经过压缩混淆,也可以很大程度地还原。 本文介绍一种可用于 Node.js 端的代码保护方案,使得 Nod...
bytenode:Node.js的极简字节码编译
04-30
该工具可将JavaScript代码真正编译为V8字节码,从而可以保护代码。 它可以与Node.js以及Electron和NW.js一起使用(请检查examples/目录)。 安装 npm install --save bytenode 或全球范围内: sudo npm install...
TypeScriptLua:TypeScriptLUA存储库包含用于LUA字节码的TypeScript编译器的完整源代码实现。
02-03
TypeScriptLua存储库包含用于Lua字节码的TypeScript编译器的完整源代码实现。 聊天室 是否想与TypeScript for Lua社区的其他成员聊天? 参与,贡献和提供反馈 做出贡献的一些最佳方法是尝试解决问题,归档错误并...
我的日常学习资料整合信息:nodejs,java,oracle
09-26
1. **JVM**:Java虚拟机(JVM)是Java程序运行的平台,它负责编译字节码并执行,提供了跨平台的能力。 2. **垃圾回收**:Java的自动内存管理机制,包括垃圾回收,能够自动释放不再使用的内存,避免内存泄露。 3. *...
保护:主动保护您的Node.js Web服务
02-04
受RisingStack保护 适用于Node.js v6及更高版本。 此模块的目的是为常见的安全问题(例如SQL注入攻击,XSS攻击,暴力破解等)提供开箱即用的主动保护。 该模块不是灵丹妙药,并且不能替代具有安全意识的工程工作。 但这可以帮助您实现目标。 基本用法 npm i @risingstack/protect --save 与快递 const protect = require ( '@risingstack/protect' ) const express = require ( 'express' ) const bodyParser = require ( 'body-pa
nodejs_trademark_protector:保护 Node.js:trade_mark: 品牌免受无意中未经授权使用的 chrome 扩展
06-26
nodejs_trademark_protector 一种 chrome 扩展,可保护 Node.js:trade_mark: 品牌免受无意的未经授权使用。 获取 转这个可憎... ...进入这个保护区。 这是通过查看的源代码实现的
secure-secret:模块,以使用nodejs帮助保护文件安全
04-28
安全秘密 模块,以使用nodejs帮助保护文件安全 安装 nmp install securesecret -g 使用 securesecret <param1> <param2> <param3> <param4> <param5> “ param1”:密码算法(必需) “ param2”:用于加密加密的密码(必填) “ param3”:0表示|| 1要抄写(必填) “ param4”:要加密或要加密的filname(路径)(必填) “ param5”:输出记录的filname(路径)(可选)| 达福(Dafault):“秘密” 结帐密码类以获取帮助 密码算法 AES-128-BCC AES-128-ECB aes-192-cbc AES-192-ECB aes-256-cbc AES-256-ECB base64 bf bf-cbc bf-cfb bf
ghidra_nodejs:GHIDRA插件,用于解析,反汇编和反编译NodeJS Bytenode(JSC)二进制文件
03-05
ghidra_nodejs 描述 GHIDRA插件,用于解析,反汇编和反编译NodeJS Bytenode(JSC)二进制文件。 支持的NodeJS版本: v8.16.0(x64)(V8版本:6.2.414.77) v8.16.0(x86)(V8版本:6.2.414.77) 制作说明 克隆仓库 使用安装的GhidraDev插件将仓库导入Eclipse 将Ghidra链接到您的Ghidra的安装(项目上下文菜单中的选项) 使用项目的上下文菜单导出和构建插件。 Eclipse将使用插件生成一个生成的.zip归档文件。 在Ghidra中:File-> Install Extensions ...->按绿色(Plus / +)按钮,然后选择以前生成的.zip存档进行安装。 按“确定”,然后按“重新启动Ghidra”。 拖放jsc文件。
使用pkg编译打包nodejs程序成执行文件
SpringDou的博客
01-06 3387
NodeJS学习使用过的童鞋们都知道,可以利用V8来解析运行javascript程序, 我们在写一个server(一般都是使用NodeJS建立http/https server), 如果是云平台,都会直接把js代码上传上去,因为云平台的账户都是自己的,那么客户端的用户是看不见server的code的,那么我们一般的应用server呢?比如你需要把程序安装在客户那边的时候,你的javascript code需要保密吧?同时为了运行javascript代码,我们需要安装node, 而node程序有很多版本,怎么
如何保密nodejs工程的代码
weixin_34212762的博客
03-16 1655
https://github.com/bahmutov/js-complexity-viz https://www.npmjs.com/package/jsc https://www.npmjs.com/package/dir-compress 8有原生的方案来做这个事情啊,可以google:v8 snapshot 另附nw.js的文档: http://docs.nwjs.io/en/lat...
node.js 和 js 怎样进行源码保护
libinglibo的博客
08-25 1014
此文章未完,目前看到有效的连接如下, node.js 代码保护 http://www.jshaman.com/buy.html https://zhuanlan.zhihu.com/p/35480211 如何保密nodejs工程的代码? https://blog.csdn.net/weixin_34212762/article/details/85976788 怎样保护 node.js 程序 https://blog.csdn.net/weixin_34274029/article/details/916
nodejs代码保护方式--加密、混淆、编译、打包成exe
热门推荐
王温暖的博客
02-26 1万+
如何保护价值上千万的Node.js代码? - 掘金 甲方突然要求做私有化部署 项目是用Node.js做的,Node.js代码需要保护吗? 一般情况下不需要,因为代码跑在云端服务器上啊。只要服务器安全,Node.js代码哪怕是明文,也是安全的。 可是凡事不怕一万,就怕万一。假如某天甲方突然要求做私有化部署,而你老板爽快地答应了,并把这个问题丢给你。 好吧,现在情况改变了,你需要代码部署在不信任的环境。一旦把Node.js代码在甲方的服务器进行打包或上线,那甲方就可以轻易地查看,分析,篡改和复制你
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值