爬虫js逆向基础——04常见控制台干扰策略

最新推荐文章于 2024-05-25 16:38:36 发布
最新推荐文章于 2024-05-25 16:38:36 发布
阅读量592 收藏 6
点赞数 2
分类专栏: 爬虫进阶 文章标签: javascript 无限debugger 内存爆破 控制台检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44154094/article/details/117390658
版权

!! 先定义,后重写

无限debugger

1.不可混淆

debugger

2.可混淆

eval("debugger")
涉及到字符串了

3.可重度混淆

	Function("debugger").call()/apply()  或赋值  bind()

	XXX.constructor("debugger").call("action")

	Function.constructor("debugger").call("action")

	(function() {return !![];}["constructor"]("debugger")["call"]("action"))


debugger逻辑放入函数中{

	setInterval

	循环的 setTimeout

}

无限debugger的处理实际上很简单,有以下几种情况

1.   无限debugger贯穿全局
	干掉定时器等全局事件(置空或重写)

2.   无限debugger在加密逻辑之前
	详细讨论

3.    无限debugger在加密逻辑之后
	不用管,script/第一行断点打上,从头开始

常见处理措施

无限debugger的处理实际上很简单,有以下几种情况

  1. 无限debugger贯穿全局
    干掉定时器等全局事件(置空或重写)

  2. 无限debugger在加密逻辑之前
    详细讨论

  3. 无限debugger在加密逻辑之后
    不用管,script第一行断点打上,从头开始

Function.prototype.constructor_bk = Function.prototype.constructor
        Function.prototype.constructor = function(){
            if (arguments[0]=="debugger"){

            }else{
                return Function.prototype.constructor_bk.apply(this, arguments)
            }
        }

这就证明,想要调试到函数入口,必须越过这个无限debugger

针对静态文件**/**伪动态文件(大部分都是这个情况)

fiddler Autoresponse 删掉 debugger

可以右键 never

针对真动态文件或Autoresponse失效或删掉debugger**逻辑很繁琐的情况下

  1. 如果是 Function 原理的 debugger,可以重写 函数构造器

  2. 如果是eval型的构造器,可以重构 eval函数

  3. 如果是定时器,并且 2失效了,可以重构定时器

  4. 在以上方式都失效时,向上找堆栈,在进入无限debugger之前打上断点将触发无限debugger的函数置空(最麻烦,但是适用性最广)

控制台检测

控制台检测一定是通过JS实现。

  1. 禁止F12 右键的解决方案:直接手动开启控制台

  2. 呼出控制台弹窗或者跳转的解决方案:script断点,并且先尝试进行关键词搜索找线索。随机打上断点,不断缩小检测范围,直到找到。若是静态js/假动态直接可以Autoresponse干掉,若是真动态则在执行控制台检测逻辑附近的时候重置函数(这个可以参考无限debugger处理方案,重写函数,hook关键位置等)

分析代码,可以重写window.open
一般这种检测都是通过

var x = document.createElement('div');
		var isOpening = false;
		Object.defineProperty(x, 'id', {
		  get:function(){
			 window.location='about:blank';
             window.threshold = 0;
		  }
		});
		在没有打开控制台的时候,x.id 的值是undefined.一旦打开控制台,x.id就为"",可以打断点,然后hook,手动把x.id置为undefined

在没有打开控制台的时候,x.id 的值是undefined.一旦打开控制台,x.id就为"",可以打断点,然后hook,手动把x.id置为undefined

非常重要的细节,先定义,后重写

函数定义之后,函数调用之前

内存爆破

内存爆破,指js通过死循环/频繁操作数据库(包括cookie)/频繁调取history等方式,使浏览器崩溃的一种反调试手段。关键词:频繁

还有一种特性情况:js文件很大,电脑内存不足(这种情况在调试层面几乎无解

特点:

	 1.  正常运行时,一切正常2.  调试时利用时间差,调试特点等讲控制流推入循环
	 2.  调试时利用时间差,调试特点等讲控制流推入循环
	 3.  利用正则/toString() 判断代码是否进行格式化
	 4.  利用浏览器指纹判断是否为浏览器环境

注意:

在这里插入图片描述
在调试的时候,比如鼠标放到一个t上,显示是一个函数,这时候显示的不一定是对的。一定要把代码执行到这一句,那时候再看,就一定是对的,(就是一定在一个作用域下)

代码投毒注意的点:

代码投毒需要注意的点:

  • try catch
  • if else
  • 能实现判断的 || &&
小生听雨园
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS爬虫逆向JS爬虫逆向
06-17
学习JavaScript爬虫逆向工程需要结合实际案例进行,通过阅读提供的压缩包文件中的"Day14:JavaScript基本语法03"、"Day21:JS逆向实战案例解析二"等资料,可以深入理解这些概念,并逐步提升技能。这些教程可能涵盖...
Python爬虫JS逆向进阶课程
06-08
这门课程是Python爬虫JS逆向进阶课程,将教授学员如何使用Python爬虫技术和JS逆向技术获取网站数据。学习者将学习如何分析网站的JS代码,破解反爬虫机制,以及如何使用Selenium和PhantomJS等工具进行模拟登录和数据...
浏览器控制台反调试
glovenone的专栏
06-07 1888
前文所提到的几个反调试方法,除方式外,均判断是否打开开发者工具。破解的方式也很简单,基本只需两步就可以搞定。若使用了方法防反调试,会出现无限,有两种破解方法。 直接使用 debugger 指令 使用了间隔轮询,直接用指令,则可以在找到对应行(格式化后),右键行号,选择即可。使用了匿名函数构造指令,断点信息显示如下: 只需在中输入以下代码后,点击(Resume script execution)回复代码执行即可(直接点击小的蓝色放行按钮即可)。 使用了 Function 构造 debugger
js逆向心路历程(一):(断点快速定位,代码量小的直接复制,Console控制台检测)
热门推荐
chaopicrawl的博客
08-11 11万+
爬虫的两大难点: 1. 如何处理反爬 2. 如何处理巨大数据量 首先 js逆向 是反反爬的一种, 反爬还有图文,特征识别,验证码等问题。 js逆向 大多是处理 登录的信息验证,ajax 的 Fromdata数据提交 。 高级爬虫的效果就是,尽量去模拟真实用户去请求网站并获取数据, js逆向也是,尽量仿真。 登录的信息验证为例,我们的练手网站有什么,所有的登录网站其实都可以拿来练手 https://zhuanlan.zhihu.com/p/90464269 需要模拟js逆向我们就需要一个能运行js代码的文件,
python爬虫js逆向(标准算法加密)
benbenxinchen的博客
05-25 2684
答:加密前的内容一致时,加密后的结果一定相同!md5在线加密网站输入加密,发现真的是md5加密(对照加密后的字符串和前面网页控制台的n(o)后的字符串是否一样)。可以看出n()函数是MD5加密函数,o则是其中的待加密字符串(仔细观察发现是数据包中的请求载荷的参数)小知识点:常见的标准算法md5(32位)、sha1(40位)这种找标准算法的方法属于投机取巧了,有些并不是标准算法,而是js混淆,那么这个时候就需要另一种方法(补代码)!!!
爬虫js逆向基础——01.浏览器控制台
weixin_44154094的博客
04-17 400
js逆向基础 打dom断点,jquery移除dom元素: $(". ").remove() 控制台一直打印的话,可以在控制台输入console.log = function(){}置空 source 下点击overrides可以映射本地文件夹,返回看page页面,鼠标右键的四个选项变成了五个选项,点击最后一个save for overrides[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 点完之后,可以对source文件进行任意修改,ctrl + s保存,刷新页面就
使用浏览器控制台实现爬虫
m0_47380857的博客
11-29 1255
使用浏览器控制台实现爬虫
怎么样禁止恶意调试控制台
qq_44900902的博客
09-01 422
防止恶意调试控制台 身为前端人员,查看控制台已经是一个日常操作,项目除了什么问题第一反应就是打开控制台一探究竟。 直到昨天,负责手头项目的产品突然跟我说使用使用遮罩层遮住部分页面上面的假数据方案不通过,他会用检查元素来吧遮罩层隐藏来看里层的数据(里层也是假数据),并表示这样的假数据会误导用户以为时真数据… 现在的用户都这么厉害了吗——也不知道是不是在抖音上面学的 维护开发人员的“尊严”,防止恶意调试控制台势在必行 说维护尊严可能有点过头了,言归正转。 debugger 防止调试,第一想到就就是
猿人学题库第八题——控制台呼出检测-骚操作
含笑
01-02 888
猿人学题库第八题——控制台呼出检测-骚操作 1. 首先 进入 浏览器的开发者工具, 一打开就跳转了,白茫茫一篇 1.1 自己打断断下来 第二题的 scipt 断点调试到 页面 搜索 windows ,可以看到几个地方,在打几个断点 调试 在 控制台 复制 粘贴 打印结果,手动输入有 监测,监测输入 就跳转了。 总结 : 这题 其实比较简单就是 看你了不了解开发者工具的使用,打断点卡住,调试打印就好了。 [分享] 猿人学·爬虫逆向高阶课 ...
Python爬虫必备: 爬虫基础+js逆向+app逆向+案例
01-18
本资源包"Python爬虫必备:爬虫基础+js逆向+app逆向+案例"涵盖了Python爬虫基础知识,JavaScript逆向工程以及移动应用(App)的逆向分析,旨在提供一套完整的爬虫学习路径。 首先,让我们深入探讨Python爬虫基础...
js逆向常用工具&爬虫工具
最新发布
06-17
乐易助手
python爬虫 破解js加密有道词典案列的两种方式源代码以及思路总结.md
08-24
爬虫过程中会设计到js加密的反爬,解决js加密的两种方式,1.直接破解;2.用execjs执行js文件。 文章链接:https://blog.csdn.net/brytlevson/article/details/100058047
爬虫 极简壁纸 逆向分析 js逆向 交流学习
12-14
然而,对于极简壁纸的逆向分析,我们往往知之甚少。 本文旨在探索极简壁纸的逆向分析方法,从技术层面揭示其设计原理。首先,将介绍逆向分析的概念和意义,以及其在软件领域的应用。其次,将分析极简壁纸的文件结构...
JS控制台爬虫
weixin_63587703的博客
05-17 494
【代码】JS控制台爬虫
爬虫检测方法总结
子宽的专栏
07-27 7404
背景 近期由于工作上的需求,研究了一下反爬虫的工作。爬虫真是一种让人又爱又恨的存在,一方面搜索引擎的爬虫可以带来更多曝光率和更多流量,对公司是一件好事,但是也有一些个人或者竞争对手的爬虫,不但不会带来利润,反而会像DDos一样对服务器造成压力。 反爬虫一般存在于两个环节,一种是traffic层面,在爬虫访问到服务器之前进行识别、区分,减轻服务器的压力,一般CDN提供商会有相关的反爬虫服务可以购...
解密阿里巴巴加密技术: 爬虫JS逆向实践-1688 【JS混淆加密解析】
五包辣条的博客
11-04 6772
大家好,我是辣条。 这是爬虫系列的36篇,爬虫之路永无止境。 爬取目标 网站:阿里巴巴1688.com - 全球领先的采购批发平台,批发网 工具使用 开发工具:pycharm 开发环境:python3.7, Windows10 使用工具包:requests,urllib, time, re, execjs 重点学习的内容 JS混淆 正则表达式的使用 py执行js文件的应用 网页参数编码 页面分析 爬取:海量产地工厂,就上1688找工厂 .
谷歌浏览器禁用 javascript 以及 控制台使用
从事前端,不断积累经验,学习新的技术。头像不是本人是莉莉崽(美貌、可爱集于一身的小姐姐,小仙女),一个宝藏博主,值得喜欢!
06-14 1万+
有的时候调试,需要禁用js 那我们可以 在浏览器里禁用。1. 浏览器输入 chrome://settings/ 或者 点击 浏览器右上角 三个点 点击设置2. 隐私设置和安全性3. 网站设置 - 内容里 找到 javaScript 或者 直接 搜索 javaScript 就可以进行网站设置 总结:浏览器输入 chrome://settings/ 或者 点击 浏览器右上角 三个点 点击设置=>隐私设置和安全性=> 网站设置 - 内容里 找到 javaScript 或者 直接 搜索 javaScript 就可以
前端 js 获取cookie的值
早晚的博客
05-27 2538
getCookie(name) { var arr = document.cookie.split(";"); for (var i = 0; i < arr.length; i++) { var arr2 = arr[i].split("="); if (arr2[0] == name) { return arr2[1]; } } return ""; }, 调用 token: this.getCookie(" token"), // 想要那个直
JS逆向时碰到了恶心的死代码怎么办?手把手教你解决!
静觅
06-17 1565
“ 阅读本文大概需要 3 分钟。 ”你是否也曾有过「在逆向时看到一大坨代码,但自己却无从下手」的遭遇?你是否也曾有过「跟着代码跳了很久之后,才发现那一大坨代码其实没有任何作用」的惨痛经历...
Python爬虫JS逆向解析实战——顺序验证与请求头理解
在Python爬虫的学习过程中,遇到了"猿人学第三题"关于请求顺序验证和请求头验证的问题。该题主要围绕一个JavaScript逆向工程的挑战展开,目标是理解并处理动态加载的数据接口。首先,通过分析,我们发现目标网站的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值