AST反混淆实战|某国外混淆框架一小段混淆js还原分析
关注它,不迷路。
本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!
1. 需求
我相信做币圈爬虫的兄弟,或多或少的见过类似下面的混淆js:
大部分的变量名,主要以 "__p_" 开头,分析下来,其实是ob混淆上面再套了一层壳。
再去掉第一层壳以后,发现还套了一层,它的函数如下:
function __p_1295650017_calc(__p_0552970006, __p_6576181459) {
switch (__p_3757655876) {
case 12:
return !__p_0552970006;
case 26:
return -__p_0552970006;
case -29:
return __p_0552970006 + __p_6576181459;
case -6:
return __p_0552970006 - __p_6576181459;
case 57:
return ~__p_0552970006;
case 35:
return __p_0552970006 / __p_6576181459;
case 3:
return __p_0552970006 * __p_6576181459;
case 2:
return typeof __p_0552970006;
case 6:
return void __p_0552970006;
}
}这个混淆函数很有意思,它有两个形参,函数里面有包含一个全局变量
__p_3757655876,而这个全局变量,又由下面的函数来控制:
function __p_2245858992(a) {
a = __p_3757655876 + (__p_3757655876 = a, 0);
return a;
}而上面的 混淆函数,它的函数调用有这样的:
__p_1295650017_calc(1940, __p_3757655876 = 26)函数的结果很明显是 -26;
也有这样的:
__p_1295650017_calc(_0x10e09f(746), "e", __p_2245858992(-29))函数的结果很明显是 _0x10e09f(746) + "e";
还有一个,就是,对于不同版本的混淆文件,它的这个函数定义是变化着的,如:
function __p_0807818337_calc(__p_9916442306, __p_4970943498) {
switch (__p_3679524284) {
case 13:
return !__p_9916442306;
case 7:
return -__p_9916442306;
case 31:
return __p_9916442306 + __p_4970943498;
case 3:
return __p_9916442306 - __p_4970943498;
case 21:
return ~__p_9916442306;
case 50:
return __p_9916442306 / __p_4970943498;
case -47:
return __p_9916442306 * __p_4970943498;
case 18:
return typeof __p_9916442306;
case 55:
return void __p_9916442306;
}
}2. 共同点
如果想要写出通用的插件,就得找出它的共同点。先来看看有哪些共同点:
函数名不一样,但都以 _calc 结尾
函数体结构是一样的,但是 每个case 后面的值不一样。
case体是一样的,都是 return 语句。
很快写出代码:
const getCalcFunction =
{
FunctionDeclaration(path)
{
let {scope,node} = path;
let {id,body,params} = node;
let name = id.name;
if (!name.endsWith('calc'))
{
return;
}
}
}因为整个混淆js,只有它是以 "calc" 结尾的,因此,只需简单的判断一下就可以了。
接下来怎么写呢?
根据每个case 里的return语句来写?
3. 隐藏的彩蛋
观察 每个case里的return语句,拿到在线解析网站上观察,只有两种类型:
BinaryExpression 和 UnaryExpression 类型,而它们有个共同点,都有 operator 这个子节点,即操作符。因此,我们可以使用 一个 Object类型的变量来保存它.即通过每个 case的值 和 operator 来注册一个键值对,保存起来。遍历的时候去取就可以了。
const getCalcFunction =
{
FunctionDeclaration(path)
{
let {scope,node} = path;
let {id,body,params} = node;
let name = id.name;
if (!name.endsWith('calc'))
{
return;
}
let newMap = new Object();
let cases = body.body[0].cases;
for (let eachCase of cases)
{
let {test,consequent} = eachCase;
let value = test.value || -test.argument.value;
let operator = consequent[0].argument.operator;
newMap[value] = operator;
}
console.log(newMap);
}
}打印结果:
拿到了 case 的值和 它的操作符,再去构造节点就简单了。
这里也许你有个疑问,就是 BinaryExpression 和 UnaryExpression 它们有个共同的操作符: "-",如何区分呢?
当然是根据它函数调用的实参个数来区分了。实参是2个的时候,它肯定是UnaryExpression 类型;实参是3个的时候,它肯定是 BinaryExpression 类型。
文件demo在星球里,请星友们完成后续的还原工作:
https://t.zsxq.com/13Sv5Igr1今天的文章就分享到这里,后续分享更多的技巧,敬请期待。
欢迎加入知识星球,学习更多AST和爬虫技巧。