AST反混淆js代码——猿人学竞赛第二题

前一段时间参加猿人学js比赛，今天把第二题的还原做一下笔记。

分析代码

首先，我们需要对混淆js代码进行分析，确定还原的思路，才能书写解混淆代码进行还原。代码是静态的，不会变的，我们去网站上将混淆代码拿下来看看：

可以看到，混淆的js代码有三万多行，从一些特征看来是类ob混淆的代码。包含大数组，移位函数等等特征；

其次，混淆代码内部有一些大对象和switch控制流代码：

对象内部含有很多属性，在混淆代码中，对象属性值(字符串和函数)被使用。

到此为止，混淆代码的特征基本上就分析完了。下面就是要还原代码了。

解混淆代码

首先，将大数组内的数据进行还原，这里需要先找到解密函数是哪个？通过分析发现_0xf75e函数是解密函数：

通过分析代码，我们可以发现，该解密函数并没有直接被调用。而是在别的函数内部被调用，同时存在多层调用。

在混淆代码内部，实际被调用的代码如下；那么，我们想要还原大数组，也就需要拿到这些函数；拿到这些函数之后，我们就可以对大数组进行还原了

这里还原后，效果如下：

可以看到函数调用已经被还原为字符串了。

那么接下来，我们可以先处理一下以下代码：对其进行计算，得到结果。

"1|2|0|3|4|" + "6|5"
3235 + -1 * -6197 + -9432

接下来，通过分析代码，我们可以发现代码中存在大量关于对象属性的使用：

这里我们需要对其还原，通过观察对象，我们可以发现，对象属性里包含字符串和函数两种值：

这里字符串我们可以直接将其还原，函数调用我们需要判断其具体的类型，做进一步处理：还原后部分带代码如下，：

最后，就需要处理switch语句了：

通过观察代码，我们可以发现，switch语句在一个循环内部，同时根据_0x726bea[_0x370538++]进行条件分支选择，那么我们就可以拿到其遍历的值的顺序，将switch语句进行改写：

还原后结果如下：

到此，基本上已经还原的差不多了，此时再去分析js代码，找到加密参数位置就是轻而易举了。
直接搜索关键字即可；加密关键位置如下：

到这里，再去扣代码就很简单了，这里就不说了。里面有一些小检测，过掉即可。

结果

最后展示一下用python代码请求拿到的结果：

本文完整分析就到这里。完整AST代码就不放在这里了，有需要的请联系我。
如果你有需要解混淆的代码，也可以联系我。