【JavaScript 逆向】AST 反混淆
本期目标网站为:
aHR0cHMlM0EvL2R1bi4xNjMuY29tL3RyaWFsL2ppZ3Nhdw==
市面上有许多好用的解混淆的工具,如v神的插件、蔡老板的一键还原等,效果都非常不错。
本文是对易盾加密代码的简单解混淆,主要是对 AST 进行一个初步的学习与了解。
AST 解混淆需要使用到 babel 库,关于babel库的使用可以看官方文档。这里不介绍库的用法,只对解混淆思路做一个简单分析。本案例代码在最下方。
大数组还原
对于易盾这类混淆来说,基本特征都是一样的。在开头或某个地方定义一个大数组,用于存储变量的值,然后定义一个方法,根据传入的参数来从大数组中取值。稍微复杂一点就如易盾一样,还会通过一个自执行函数来对数组进行偏移。所以如果我们需要将大数组进行还原,需要先要对大数组进行偏移,然后通过eval将所有引用了大数组的地方的值计算出来。
本案例中:
大数组变量名为:_0x5ea4
取值方法名为:_0x4139
取大数组取值方法名
//大数组取值方法名
const largeArray = ast1.program.body[0].declarations[0].id.name
// _0x4139
执行偏移代码
得到大数组变量名后再取大数组与偏移代码,观察代码结构,可以发现我们需要的为 body 下的 VariableDeclaration、FunctionDeclaration 与 ExpressionStatement下的第一个 CallExpression。
VariableDeclaration :大数组
FunctionDeclaration :大数组取值方法
CallExpression:大数组偏移代码
拿到这三个结构后我们就可以执行了,这里我们可以直接删除掉 AssignmentExpression 结构,剩余的就是我们要执行的结构。
traverse(ast, {
enter(path) {
if (path.node.type === 'AssignmentExpression' && path.node.left.type === 'MemberExpression') {
path.remove()
}
}
})
offsetCode = generator(ast, {compact: true}).code
eval(offsetCode)
console.log(_0x4139(0xb34))
// toString
为了防止误删其他代码,这里多做了一层判断。为了验证代码是否正确执行,可以调用一下大数组取值方法,看看是否能够正确输出结果。(_0x4139 是本案例代码中大数组取值的方法名)
替换
能够正确执行偏移代码后,就可以将所有引用大数组的代码替换成真实的值了。如
var _0x530fea = _0x4139
, _0x1bbc44 = {}[_0x530fea(0xb34)]
我们可以直接将它替换为
_0x1bbc44 = {}["toString"]
想要实现这一步,我们首先需要找到哪些地方通过 _0x4139 引用了大数组。并且,有些代码是嵌套调用的,如:
var _0x530fea = _0x4139
var _0xba4eba = _0x530fea
_0xba4eba(0x9d2)
因此,需要找到这条引用链上的所有变量名。
我们通过第一步中取到的大数组取值方法名来进行遍历。
let quoteArray = new Set([largeArray]);
let current = [largeArray];
while (true) {
let floor = [];
current.forEach(function (valName) {
traverse(ast1, {
VariableDeclarator(path) {
if (path.node.init != null && path.node.init.type === "Identifier" && path.node.init.name === valName) {
floor.push(path.node.id.name)
path.remove()
}
}
});
})
if (floor.length === 0) {
break
} else {
quoteArray = new Set([...quoteArray].concat(floor));
current = floor;
}
}
console.log(quoteArray)
console.log(quoteArray.size)
鉴于博主 JS 方面不是很在行,所以这里逻辑有点混乱,运行速度稍微较慢,因为需要大量的循环与判断。
拿到所有变量名后就可以进行替换了。
traverse(ast1, {
CallExpression(path) {
if (path.node.arguments.length === 1 && quoteArray.has(path.node.callee.name)) {
path.node.callee.name = largeArray
path.replaceInline(types.stringLiteral(eval(path.toString())))
}
}
});
这时候我们可以将处理后的代码保存观察一下,是否符合我们的预期。
const gcode = generator(ast1.program.body[2].expression.expressions[1])
fs.writeFileSync("code1.js", gcode.code)
大对象还原
除了大数组,我们还会看到一些大对象,这些对象里面声明了许多方法,这些也是可以直接还原的。
原理与大数组一样。
这里只做简单示例,想要完整的还原也需要分析对象的引用关系,添加 try catch 是因为判断条件不够,可以根据代码结构添加一些判断:
let largeObjects = [];
traverse(ast1, {
VariableDeclarator(path) {
if (path.node.init != null && path.node.init.type === "ObjectExpression" && path.node.init.properties.length >= 1) {
try {
largeObjects.push(path.node.id.name)
eval(path.toString())
} catch (e) {
}
}
}
})
traverse(ast1, {
MemberExpression(path) {
if (path.node.object.type === 'Identifier' && largeObjects.indexOf(path.node.object.name) > -1) {
try {
var path_value = eval(path.toString());
path.replaceInline(types.stringLiteral(path_value));
} catch (e) {
}
}
}
})
进制转换
traverse(ast1, {
"StringLiteral|NumericLiteral"(path) {
delete path.node.extra;
}
})
无用结构删除
traverse(ast1, {
IfStatement(path) {
if (path.node.test.type === "BooleanLiteral") {
if (path.node.test.value) {
path.replaceInline(path.node.consequent.body)
} else {
path.replaceInline(path.node.alternate.body)
}
}
}
})
表达式还原
traverse(ast1, {
BinaryExpression(path) {
let {confident, value} = path.evaluate()
if (value !== undefined) {
path.replaceInline(types.valueToNode(value))
}
}
})
易盾的混淆中并未涉及到平坦流,想要了解的可以看看k哥的文章。
AST 能做的还有许多,这里只列举以上的基本操作。
案例代码