整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
著大數(shù)據(jù)時代的發(fā)展,各個公司的數(shù)據(jù)保護(hù)意識越來越強(qiáng),大家都在想盡辦法保護(hù)自家產(chǎn)品的數(shù)據(jù)不輕易被爬蟲爬走。由于網(wǎng)頁是提供信息和服務(wù)的重要載體,所以對網(wǎng)頁上的信息進(jìn)行保護(hù)就成了至關(guān)重要的一個環(huán)節(jié)。
網(wǎng)頁是運(yùn)行在瀏覽器端的,當(dāng)我們?yōu)g覽一個網(wǎng)頁時,其 HTML 代碼、 JavaScript 代碼都會被下載到瀏覽器中執(zhí)行。借助瀏覽器的開發(fā)者工具,我們可以看到網(wǎng)頁在加載過程中所有網(wǎng)絡(luò)請求的詳細(xì)信息,也能清楚地看到網(wǎng)站運(yùn)行的 HTML 代碼和 JavaScript 代碼,這些代碼中就包含了網(wǎng)站加載的全部邏輯,如加載哪些資源、請求接口是如何構(gòu)造的、頁面是如何渲染的等等。正因?yàn)榇a是完全透明的,所以如果我們能夠把其中的執(zhí)行邏輯研究出來,就可以模擬各個網(wǎng)絡(luò)請求進(jìn)行數(shù)據(jù)爬取了。
然而,事情沒有想象得那么簡單。隨著前端技術(shù)的發(fā)展,前端代碼的打包技術(shù)、混淆技術(shù)、加密技術(shù)也層出不窮,借助于這些技術(shù),各個公司可以在前端對 JavaScript 代碼采取一定的保護(hù),比如變量名混淆、執(zhí)行邏輯混淆、反調(diào)試、核心邏輯加密等,這些保護(hù)手段使得我們沒法很輕易地找出 JavaScript 代碼中包含的的執(zhí)行邏輯。
在前幾章的案例中,我們也試著爬取了各種形式的網(wǎng)站。其中有的網(wǎng)站的數(shù)據(jù)接口是沒有任何驗(yàn)證或加密參數(shù)的,我們可以輕松模擬并爬取其中的數(shù)據(jù);但有的網(wǎng)站稍顯復(fù)雜,網(wǎng)站的接口中增加了一些加密參數(shù),同時對 JavaScript 代碼采取了上文所述的一些防護(hù)措施,當(dāng)時我們沒有直接嘗試去破解,而是用 Selenium 等類似工具來實(shí)現(xiàn)模擬瀏覽器執(zhí)行的方式來進(jìn)行“所見即所得“的爬取。其實(shí)對于后者,我們還有另外一種解決方案,那就是直接逆向 JavaScript 代碼,找出其中的加密邏輯,從而直接實(shí)現(xiàn)該加密邏輯來進(jìn)行爬取。如果加密邏輯實(shí)在過于復(fù)雜,我們也可以找出一些關(guān)鍵入口,從而實(shí)現(xiàn)對加密邏輯的單獨(dú)模擬執(zhí)行和數(shù)據(jù)爬取。這些方案難度可能很大,比如關(guān)鍵入口很難尋找,或者加密邏輯難以模擬,可是一旦成功找到突破口,我們便可以不用借助于 Selenium 等工具進(jìn)行整頁數(shù)據(jù)的渲染而實(shí)現(xiàn)數(shù)據(jù)爬取,這樣爬取效率會大幅提升。
本章我們首先會對 JavaScript 防護(hù)技術(shù)進(jìn)行介紹,然后介紹一些常用的 JavaScript 逆向技巧,包括瀏覽器工具的使用、Hook 技術(shù)、AST 技術(shù)、特殊混淆技術(shù)的處理、WebAssembly 技術(shù)的處理。了解了這些技術(shù),我們可以更從容地應(yīng)對 JavaScript 防護(hù)技術(shù)。
我們在爬取網(wǎng)站的時候,會遇到一些情況需要分析一些接口或 URL 信息,在這個過程中,我們會遇到各種各樣類似加密的情形,比如說:
這些情況呢,基本上都是網(wǎng)站為了保護(hù)其本身的一些數(shù)據(jù)不被輕易抓取而采取的一些措施,我們可以把它歸類為兩大類:
這一節(jié)我們就來了解下這兩類技術(shù)的基本原理和一些常見的示例。知己知彼,百戰(zhàn)不殆,了解了這些技術(shù)的實(shí)現(xiàn)原理之后,我們才能更好地去逆向其中的邏輯,從而實(shí)現(xiàn)數(shù)據(jù)爬取。
當(dāng)今大數(shù)據(jù)時代,數(shù)據(jù)已經(jīng)變得越來越重要,網(wǎng)頁和 App 現(xiàn)在是主流的數(shù)據(jù)載體,如果其數(shù)據(jù)的 API 沒有設(shè)置任何保護(hù)措施,在爬蟲工程師解決了一些基本的反爬如封 IP、驗(yàn)證碼的問題之后,那么數(shù)據(jù)還是可以被輕松爬取到的。
那么,有沒有可能在 URL/API 層面或 JavaScript 層面也加上一層防護(hù)呢?答案是可以。
網(wǎng)站運(yùn)營者首先想到防護(hù)措施可能是對某些數(shù)據(jù)接口的參數(shù)進(jìn)行加密,比如說對某些 URL 的一些參數(shù)加上校驗(yàn)碼或者把一些 id 信息進(jìn)行編碼,使其變得難以閱讀或構(gòu)造;或者對某些 API 請求加上一些 token、sign 等簽名,這樣這些請求發(fā)送到服務(wù)器時,服務(wù)器會通過客戶端發(fā)來的一些請求信息以及雙方約定好的秘鑰等來對當(dāng)前的請求進(jìn)行校驗(yàn),如果校驗(yàn)通過,才返回對應(yīng)數(shù)據(jù)結(jié)果。
比如說客戶端和服務(wù)端約定一種接口校驗(yàn)邏輯,客戶端在每次請求服務(wù)端接口的時候都會附帶一個 sign 參數(shù),這個 sign 參數(shù)可能是由當(dāng)前時間信息、請求的 URL、請求的數(shù)據(jù)、設(shè)備的 ID、雙方約定好的秘鑰經(jīng)過一些加密算法構(gòu)造而成的,客戶端會實(shí)現(xiàn)這個加密算法構(gòu)造 sign,然后每次請求服務(wù)器的時候附帶上這個參數(shù)。服務(wù)端會根據(jù)約定好的算法和請求的數(shù)據(jù)對 sign 進(jìn)行校驗(yàn),如果校驗(yàn)通過,才返回對應(yīng)的數(shù)據(jù),否則拒絕響應(yīng)。
當(dāng)然登錄狀態(tài)的校驗(yàn)也可以看作是此類方案,比如一個 API 的調(diào)用必須要傳一個 token,這個 token 必須用戶登錄之后才能獲取,如果請求的時候不帶該 token,API 就不會返回任何數(shù)據(jù)。
倘若沒有這種措施,那么基本上 URL 或者 API 接口是完全公開可以訪問的,這意味著任何人都可以直接調(diào)用來獲取數(shù)據(jù),幾乎是零防護(hù)的狀態(tài),這樣是非常危險的,而且數(shù)據(jù)也可以被輕易地被爬蟲爬取。因此對 URL/API 參數(shù)一些加密和校驗(yàn)是非常有必要的。
接口加密技術(shù)看起來的確是一個不錯的解決方案,但單純依靠它并不能很好地解決問題。為什么呢?
對于網(wǎng)頁來說,其邏輯是依賴于 JavaScript 來實(shí)現(xiàn)的,JavaScript 有如下特點(diǎn):
由于這兩個原因,至使 JavaScript 代碼是不安全的,任何人都可以讀、分析、復(fù)制、盜用,甚至篡改。
所以說,對于上述情形,客戶端 JavaScript 對于某些加密的實(shí)現(xiàn)是很容易被找到或模擬的,了解了加密邏輯后,模擬參數(shù)的構(gòu)造和請求也就是輕而易舉了,所以如果 JavaScript 沒有做任何層面的保護(hù)的話,接口加密技術(shù)基本上對數(shù)據(jù)起不到什么防護(hù)作用。
如果你不想讓自己的數(shù)據(jù)被輕易獲取,不想他人了解 JavaScript 邏輯的實(shí)現(xiàn),或者想降低被不懷好意的人甚至是黑客攻擊。那么就需要用到 JavaScript 壓縮、混淆和加密技術(shù)了。
這里壓縮、混淆和加密技術(shù)簡述如下:
下面我們對上面的技術(shù)分別予以介紹。
現(xiàn)在絕大多數(shù)網(wǎng)站的數(shù)據(jù)一般都是通過服務(wù)器提供的 API 來獲取的,網(wǎng)站或 App 可以請求某個數(shù)據(jù) API 獲取到對應(yīng)的數(shù)據(jù),然后再把獲取的數(shù)據(jù)展示出來。但有些數(shù)據(jù)是比較寶貴或私密的,這些數(shù)據(jù)肯定是需要一定層面上的保護(hù)。所以不同 API 的實(shí)現(xiàn)也就對應(yīng)著不同的安全防護(hù)級別,我們這里來總結(jié)下。
為了提升接口的安全性,客戶端會和服務(wù)端約定一種接口校驗(yàn)方式,一般來說會使用到各種加密和編碼算法,如 Base64、Hex 編碼,MD5、AES、DES、RSA 等對稱或非對稱加密。
舉個例子,比如說客戶端和服務(wù)器雙方約定一個 sign 用作接口的簽名校驗(yàn),其生成邏輯是客戶端將 URL Path 進(jìn)行 MD5 加密然后拼接上 URL 的某個參數(shù)再進(jìn)行 Base64 編碼,最后得到一個字符串 sign,這個 sign 會通過 Request URL 的某個參數(shù)或 Request Headers 發(fā)送給服務(wù)器。服務(wù)器接收到請求后,對 URL Path 同樣進(jìn)行 MD5 加密,然后拼接上 URL 的某個參數(shù),也進(jìn)行 Base64 編碼也得到了一個 sign,然后比對生成的 sign 和客戶端發(fā)來的 sign 是否是一致的,如果是一致的,那就返回正確的結(jié)果,否則拒絕響應(yīng)。這就是一個比較簡單的接口參數(shù)加密的實(shí)現(xiàn)。如果有人想要調(diào)用這個接口的話,必須要定義好 sign 的生成邏輯,否則是無法正常調(diào)用接口的。
當(dāng)然上面的這個實(shí)現(xiàn)思路比較簡單,這里還可以增加一些時間戳信息增加時效性判斷,或增加一些非對稱加密進(jìn)一步提高加密的復(fù)雜程度。但不管怎樣,只要客戶端和服務(wù)器約定好了加密和校驗(yàn)邏輯,任何形式加密算法都是可以的。
這里要實(shí)現(xiàn)接口參數(shù)加密就需要用到一些加密算法,客戶端和服務(wù)器肯定也都有對應(yīng)的 SDK 實(shí)現(xiàn)這些加密算法,如 JavaScript 的 crypto-js,Python 的 hashlib、Crypto 等等。
但還是如上文所說,如果是網(wǎng)頁的話,客戶端實(shí)現(xiàn)加密邏輯如果是用 JavaScript 來實(shí)現(xiàn),其源代碼對用戶是完全可見的,如果沒有對 JavaScript 做任何保護(hù)的話,是很容易弄清楚客戶端加密的流程的。
因此,我們需要對 JavaScript 利用壓縮、混淆等方式來對客戶端的邏輯進(jìn)行一定程度上的保護(hù)。
這個非常簡單,JavaScript 壓縮即去除 JavaScript 代碼中的不必要的空格、換行等內(nèi)容或者把一些可能公用的代碼進(jìn)行處理實(shí)現(xiàn)共享,最后輸出的結(jié)果都壓縮為幾行內(nèi)容,代碼可讀性變得很差,同時也能提高網(wǎng)站加載速度。
如果僅僅是去除空格換行這樣的壓縮方式,其實(shí)幾乎是沒有任何防護(hù)作用的,因?yàn)檫@種壓縮方式僅僅是降低了代碼的直接可讀性。如果我們有一些格式化工具可以輕松將 JavaScript 代碼變得易讀,比如利用 IDE、在線工具或 Chrome 瀏覽器都能還原格式化的代碼。
比如這里舉一個最簡單的 JavaScript 壓縮示例,原來的 JavaScript 代碼是這樣的:
function echo(stringA, stringB) {
const name = "Germey";
alert("hello " + name);
}壓縮之后就變成這樣子:
function echo(d, c) {
const e = "Germey";
alert("hello " + e);
}可以看到這里參數(shù)的名稱都被簡化了,代碼中的空格也被去掉了,整個代碼也被壓縮成了一行,代碼的整體可讀性降低了。
目前主流的前端開發(fā)技術(shù)大多都會利用 Webpack、Rollup 等工具進(jìn)行打包,Webpack、Rollup 會對源代碼進(jìn)行編譯和壓縮,輸出幾個打包好的 JavaScript 文件,其中我們可以看到輸出的 JavaScript 文件名帶有一些不規(guī)則字符串,同時文件內(nèi)容可能只有幾行內(nèi)容,變量名都是一些簡單字母表示。這其中就包含 JavaScript 壓縮技術(shù),比如一些公共的庫輸出成 bundle 文件,一些調(diào)用邏輯壓縮和轉(zhuǎn)義成冗長的幾行代碼,這些都屬于 JavaScript 壓縮。另外其中也包含了一些很基礎(chǔ)的 JavaScript 混淆技術(shù),比如把變量名、方法名替換成一些簡單字符,降低代碼可讀性。
但整體來說,JavaScript 壓縮技術(shù)只能在很小的程度上起到防護(hù)作用,要想真正提高防護(hù)效果還得依靠 JavaScript 混淆和加密技術(shù)。
JavaScript 混淆是完全是在 JavaScript 上面進(jìn)行的處理,它的目的就是使得 JavaScript 變得難以閱讀和分析,大大降低代碼可讀性,是一種很實(shí)用的 JavaScript 保護(hù)方案。
JavaScript 混淆技術(shù)主要有以下幾種:
總之,以上方案都是 JavaScript 混淆的實(shí)現(xiàn)方式,可以在不同程度上保護(hù) JavaScript 代碼。
在前端開發(fā)中,現(xiàn)在 JavaScript 混淆主流的實(shí)現(xiàn)是 javascript-obfuscator (https://github.com/javascript-obfuscator/javascript-obfuscator) 和 terser (https://github.com/terser/terser) 這兩個庫,其都能提供一些代碼混淆功能,也都有對應(yīng)的 Webpack 和 Rollup 打包工具的插件,利用它們我們可以非常方便地實(shí)現(xiàn)頁面的混淆,最終可以輸出壓縮和混淆后的 JavaScript 代碼,使得 JavaScript 代碼可讀性大大降低。
下面我們以 javascript-obfuscator 為例來介紹一些代碼混淆的實(shí)現(xiàn),了解了實(shí)現(xiàn),那么自然我們就對混淆的機(jī)理有了更加深刻的認(rèn)識。
javascript-obfuscator 的官網(wǎng)地址為:https://obfuscator.io/,其官方介紹內(nèi)容如下:
A free and efficient obfuscator for JavaScript (including ES2017). Make your code harder to copy and prevent people from stealing your work.
它是支持 ES8 的免費(fèi)、高效的 JavaScript 混淆庫,它可以使得你的 JavaScript 代碼經(jīng)過混淆后難以被復(fù)制、盜用,混淆后的代碼具有和原來的代碼一模一樣的功能。
怎么使用呢?首先,我們需要安裝好 Node.js 12.x 版本及以上,確保可以正常使用 npm 命令,具體的安裝方式可以參考:https://setup.scrape.center/nodejs。
接著新建一個文件夾,比如 js-obfuscate,然后進(jìn)入該文件夾,初始化工作空間:
npm init這里會提示我們輸入一些信息,創(chuàng)建一個 package.json 文件,這就完成了項(xiàng)目初始化了。
接下來我們來安裝 javascript-obfuscator 這個庫:
npm i -D javascript-obfuscator稍等片刻,即可看到本地 js-obfuscate 文件夾下生成了一個 node_modules 文件夾,里面就包含了 javascript-obfuscator 這個庫,這就說明安裝成功了,文件夾結(jié)構(gòu)如圖所示:
接下來我們就可以編寫代碼來實(shí)現(xiàn)一個混淆樣例了,如新建一個 main.js 文件,內(nèi)容如下:
const code = `
let x = '1' + 1
console.log('x', x)
`;
const options = {
compact: false,
controlFlowFlattening: true,
};
const obfuscator = require("javascript-obfuscator");
function obfuscate(code, options) {
return obfuscator.obfuscate(code, options).getObfuscatedCode();
}
console.log(obfuscate(code, options));在這里我們定義了兩個變量,一個是 code,即需要被混淆的代碼,另一個是混淆選項(xiàng),是一個 Object。接下來我們引入了 javascript-obfuscator 這庫,然后定義了一個方法,傳入 code 和 options,來獲取混淆后的代碼,最后控制臺輸出混淆后的代碼。
代碼邏輯比較簡單,我們來執(zhí)行一下代碼:
node main.js輸出結(jié)果如下:
var _0x53bf = ["log"];
(function (_0x1d84fe, _0x3aeda0) {
var _0x10a5a = function (_0x2f0a52) {
while (--_0x2f0a52) {
_0x1d84fe["push"](_0x1d84fe["shift"]());
}
};
_0x10a5a(++_0x3aeda0);
})(_0x53bf, 0x172);
var _0x480a = function (_0x4341e5, _0x5923b4) {
_0x4341e5 = _0x4341e5 - 0x0;
var _0xb3622e = _0x53bf[_0x4341e5];
return _0xb3622e;
};
let x = "1" + 0x1;
console[_0x480a("0x0")]("x", x);看到了吧,那么簡單的兩行代碼,被我們混淆成了這個樣子,其實(shí)這里我們就是設(shè)定了一個「控制流平坦化」的選項(xiàng)。整體看來,代碼的可讀性大大降低,也大大加大了 JavaScript 調(diào)試的難度。
好,那么我們來跟著 javascript-obfuscator 走一遍,就能具體知道 JavaScript 混淆到底有多少方法了。
注意:由于這些例子中,調(diào)用 javascript-obfuscator 進(jìn)行混淆的實(shí)現(xiàn)是一樣的,所以下文的示例只說明 code 和 options 變量的修改,完整代碼請自行補(bǔ)全。
這里 javascript-obfuscator 也提供了代碼壓縮的功能,使用其參數(shù) compact 即可完成 JavaScript 代碼的壓縮,輸出為一行內(nèi)容。默認(rèn)是 true,如果定義為 false,則混淆后的代碼會分行顯示。
示例如下:
const code = `
let x = '1' + 1
console.log('x', x)
`;
const options = {
compact: false,
};這里我們先把代碼壓縮 compact 選項(xiàng)設(shè)置為 false,運(yùn)行結(jié)果如下:
let x = "1" + 0x1;
console["log"]("x", x);如果不設(shè)置 compact 或把 compact 設(shè)置為 true,結(jié)果如下:
var _0x151c = ["log"];
(function (_0x1ce384, _0x20a7c7) {
var _0x25fc92 = function (_0x188aec) {
while (--_0x188aec) {
_0x1ce384["push"](_0x1ce384["shift"]());
}
};
_0x25fc92(++_0x20a7c7);
})(_0x151c, 0x1b7);
var _0x553e = function (_0x259219, _0x241445) {
_0x259219 = _0x259219 - 0x0;
var _0x56d72d = _0x151c[_0x259219];
return _0x56d72d;
};
let x = "1" + 0x1;
console[_0x553e("0x0")]("x", x);可以看到單行顯示的時候,對變量名進(jìn)行了進(jìn)一步的混淆,這里變量的命名都變成了 16 進(jìn)制形式的字符串,這是因?yàn)閱⒂昧艘恍┠J(rèn)壓縮和混淆配置導(dǎo)致的。總之我們可以看到代碼的可讀性相比之前大大降低了。
變量名混淆可以通過在 javascript-obfuscator 中配置 identifierNamesGenerator 參數(shù)實(shí)現(xiàn),我們通過這個參數(shù)可以控制變量名混淆的方式,如 hexadecimal 則會替換為 16 進(jìn)制形式的字符串,在這里我們可以設(shè)定如下值:
該參數(shù)的值默認(rèn)為 hexadecimal。
我們將該參數(shù)修改為 mangled 來試一下:
const code = `
let hello = '1' + 1
console.log('hello', hello)
`;
const options = {
compact: true,
identifierNamesGenerator: "mangled",
};運(yùn)行結(jié)果如下:
var a = ["hello"];
(function (c, d) {
var e = function (f) {
while (--f) {
c["push"](c["shift"]());
}
};
e(++d);
})(a, 0x9b);
var b = function (c, d) {
c = c - 0x0;
var e = a[c];
return e;
};
let hello = "1" + 0x1;
console["log"](b("0x0"), hello);可以看到這里的變量命名都變成了 a、b 等形式。
如果我們將 identifierNamesGenerator 修改為 hexadecimal 或者不設(shè)置,運(yùn)行結(jié)果如下:
var _0x4e98 = ["log", "hello"];
(function (_0x4464de, _0x39de6c) {
var _0xdffdda = function (_0x6a95d5) {
while (--_0x6a95d5) {
_0x4464de["push"](_0x4464de["shift"]());
}
};
_0xdffdda(++_0x39de6c);
})(_0x4e98, 0xc8);
var _0x53cb = function (_0x393bda, _0x8504e7) {
_0x393bda = _0x393bda - 0x0;
var _0x46ab80 = _0x4e98[_0x393bda];
return _0x46ab80;
};
let hello = "1" + 0x1;
console[_0x53cb("0x0")](_0x53cb("0x1"), hello);可以看到選用了 mangled,其代碼體積會更小,但 hexadecimal 其可讀性會更低。
另外我們還可以通過設(shè)置 identifiersPrefix 參數(shù)來控制混淆后的變量前綴,示例如下:
const code = `
let hello = '1' + 1
console.log('hello', hello)
`;
const options = {
identifiersPrefix: "germey",
};運(yùn)行結(jié)果如下:
var germey_0x3dea = ["log", "hello"];
(function (_0x348ff3, _0x5330e8) {
var _0x1568b1 = function (_0x4740d8) {
while (--_0x4740d8) {
_0x348ff3["push"](_0x348ff3["shift"]());
}
};
_0x1568b1(++_0x5330e8);
})(germey_0x3dea, 0x94);
var germey_0x30e4 = function (_0x2e8f7c, _0x1066a8) {
_0x2e8f7c = _0x2e8f7c - 0x0;
var _0x5166ba = germey_0x3dea[_0x2e8f7c];
return _0x5166ba;
};
let hello = "1" + 0x1;
console[germey_0x30e4("0x0")](germey_0x30e4("0x1"), hello);可以看到混淆后的變量前綴加上了我們自定義的字符串 germey。
另外 renameGlobals 這個參數(shù)還可以指定是否混淆全局變量和函數(shù)名稱,默認(rèn)為 false。示例如下:
const code = `
var $ = function(id) {
return document.getElementById(id);
};
`;
const options = {
renameGlobals: true,
};運(yùn)行結(jié)果如下:
var _0x4864b0 = function (_0x5763be) {
return document["getElementById"](_0x5763be);
};可以看到這里我們聲明了一個全局變量 $,在 renameGlobals 設(shè)置為 true 之后,$ 這個變量也被替換了。如果后文用到了這個 $ 對象,可能就會有找不到定義的錯誤,因此這個參數(shù)可能導(dǎo)致代碼執(zhí)行不通。
如果我們不設(shè)置 renameGlobals 或者設(shè)置為 false,結(jié)果如下:
var _0x239a = ["getElementById"];
(function (_0x3f45a3, _0x583dfa) {
var _0x2cade2 = function (_0x28479a) {
while (--_0x28479a) {
_0x3f45a3["push"](_0x3f45a3["shift"]());
}
};
_0x2cade2(++_0x583dfa);
})(_0x239a, 0xe1);
var _0x3758 = function (_0x18659d, _0x50c21d) {
_0x18659d = _0x18659d - 0x0;
var _0x531b8d = _0x239a[_0x18659d];
return _0x531b8d;
};
var $ = function (_0x3d8723) {
return document[_0x3758("0x0")](_0x3d8723);
};可以看到,最后還是有 $ 的聲明,其全局名稱沒有被改變。
字符串混淆,即將一個字符串聲明放到一個數(shù)組里面,使之無法被直接搜索到。我們可以通過控制 stringArray 參數(shù)來控制,默認(rèn)為 true。
我們還可以通過 rotateStringArray 參數(shù)來控制數(shù)組化后結(jié)果的的元素順序,默認(rèn)為 true。還可以通過 stringArrayEncoding 參數(shù)來控制數(shù)組的編碼形式,默認(rèn)不開啟編碼,如果設(shè)置為 true 或 base64,則會使用 Base64 編碼,如果設(shè)置為 rc4,則使用 RC4 編碼。另外可以通過 stringArrayThreshold 來控制啟用編碼的概率,范圍 0 到 1,默認(rèn) 0.8。
示例如下:
const code = `
var a = 'hello world'
`;
const options = {
stringArray: true,
rotateStringArray: true,
stringArrayEncoding: true, // 'base64' 或 'rc4' 或 false
stringArrayThreshold: 1,
};運(yùn)行結(jié)果如下:
var _0x4215 = ["aGVsbG8gd29ybGQ="];
(function (_0x42bf17, _0x4c348f) {
var _0x328832 = function (_0x355be1) {
while (--_0x355be1) {
_0x42bf17["push"](_0x42bf17["shift"]());
}
};
_0x328832(++_0x4c348f);
})(_0x4215, 0x1da);
var _0x5191 = function (_0x3cf2ba, _0x1917d8) {
_0x3cf2ba = _0x3cf2ba - 0x0;
var _0x1f93f0 = _0x4215[_0x3cf2ba];
if (_0x5191["LqbVDH"] === undefined) {
(function () {
var _0x5096b2;
try {
var _0x282db1 = Function(
"return\x20(function()\x20" +
"{}.constructor(\x22return\x20this\x22)(\x20)" +
");"
);
_0x5096b2 = _0x282db1();
} catch (_0x2acb9c) {
_0x5096b2 = window;
}
var _0x388c14 =
"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
_0x5096b2["atob"] ||
(_0x5096b2["atob"] = function (_0x4cc27c) {
var _0x2af4ae = String(_0x4cc27c)["replace"](/=+$/, "");
for (
var _0x21400b = 0x0,
_0x3f4e2e,
_0x5b193b,
_0x233381 = 0x0,
_0x3dccf7 = "";
(_0x5b193b = _0x2af4ae["charAt"](_0x233381++));
~_0x5b193b &&
((_0x3f4e2e =
_0x21400b % 0x4 ? _0x3f4e2e * 0x40 + _0x5b193b : _0x5b193b),
_0x21400b++ % 0x4)
? (_0x3dccf7 += String["fromCharCode"](
0xff & (_0x3f4e2e >> ((-0x2 * _0x21400b) & 0x6))
))
: 0x0
) {
_0x5b193b = _0x388c14["indexOf"](_0x5b193b);
}
return _0x3dccf7;
});
})();
_0x5191["DuIurT"] = function (_0x51888e) {
var _0x29801f = atob(_0x51888e);
var _0x561e62 = [];
for (
var _0x5dd788 = 0x0, _0x1a8b73 = _0x29801f["length"];
_0x5dd788 < _0x1a8b73;
_0x5dd788++
) {
_0x561e62 +=
"%" +
("00" + _0x29801f["charCodeAt"](_0x5dd788)["toString"](0x10))[
"slice"
](-0x2);
}
return decodeURIComponent(_0x561e62);
};
_0x5191["mgoBRd"] = {};
_0x5191["LqbVDH"] = !![];
}
var _0x1741f0 = _0x5191["mgoBRd"][_0x3cf2ba];
if (_0x1741f0 === undefined) {
_0x1f93f0 = _0x5191["DuIurT"](_0x1f93f0);
_0x5191["mgoBRd"][_0x3cf2ba] = _0x1f93f0;
} else {
_0x1f93f0 = _0x1741f0;
}
return _0x1f93f0;
};
var a = _0x5191("0x0");可以看到這里就把字符串進(jìn)行了 Base64 編碼,我們再也無法通過查找的方式找到字符串的位置了。
如果將 stringArray 設(shè)置為 false 的話,輸出就是這樣:
var a = "hello\x20world";字符串就仍然是明文顯示的,沒有被編碼。
另外我們還可以使用 unicodeEscapeSequence 這個參數(shù)對字符串進(jìn)行 Unicode 轉(zhuǎn)碼,使之更加難以辨認(rèn),示例如下:
const code = `
var a = 'hello world'
`;
const options = {
compact: false,
unicodeEscapeSequence: true,
};運(yùn)行結(jié)果如下:
var _0x5c0d = ["\x68\x65\x6c\x6c\x6f\x20\x77\x6f\x72\x6c\x64"];
(function (_0x54cc9c, _0x57a3b2) {
var _0xf833cf = function (_0x3cd8c6) {
while (--_0x3cd8c6) {
_0x54cc9c["push"](_0x54cc9c["shift"]());
}
};
_0xf833cf(++_0x57a3b2);
})(_0x5c0d, 0x17d);
var _0x28e8 = function (_0x3fd645, _0x2cf5e7) {
_0x3fd645 = _0x3fd645 - 0x0;
var _0x298a20 = _0x5c0d[_0x3fd645];
return _0x298a20;
};
var a = _0x28e8("0x0");可以看到,這里字符串被數(shù)字化和 Unicode 化,非常難以辨認(rèn)。
在很多 JavaScript 逆向的過程中,一些關(guān)鍵的字符串可能會作為切入點(diǎn)來查找加密入口。用了這種混淆之后,如果有人想通過全局搜索的方式搜索 hello 這樣的字符串找加密入口,也沒法搜到了。
我們可以通過設(shè)置 selfDefending 參數(shù)來開啟代碼自我保護(hù)功能。開啟之后,混淆后的 JavaScript 會以強(qiáng)制一行形式顯示,如果我們將混淆后的代碼進(jìn)行格式化或者重命名,該段代碼將無法執(zhí)行。
示例如下:
const code = `
console.log('hello world')
`;
const options = {
selfDefending: true,
};運(yùn)行結(jié)果如下:
var _0x26da = ["log", "hello\x20world"];
(function (_0x190327, _0x57c2c0) {
var _0x577762 = function (_0xc9dabb) {
while (--_0xc9dabb) {
_0x190327["push"](_0x190327["shift"]());
}
};
var _0x35976e = function () {
var _0x16b3fe = {
data: { key: "cookie", value: "timeout" },
setCookie: function (_0x2d52d5, _0x16feda, _0x57cadf, _0x56056f) {
_0x56056f = _0x56056f || {};
var _0x5b6dc3 = _0x16feda + "=" + _0x57cadf;
var _0x333ced = 0x0;
for (
var _0x333ced = 0x0, _0x19ae36 = _0x2d52d5["length"];
_0x333ced < _0x19ae36;
_0x333ced++
) {
var _0x409587 = _0x2d52d5[_0x333ced];
_0x5b6dc3 += ";\x20" + _0x409587;
var _0x4aa006 = _0x2d52d5[_0x409587];
_0x2d52d5["push"](_0x4aa006);
_0x19ae36 = _0x2d52d5["length"];
if (_0x4aa006 !== !![]) {
_0x5b6dc3 += "=" + _0x4aa006;
}
}
_0x56056f["cookie"] = _0x5b6dc3;
},
removeCookie: function () {
return "dev";
},
getCookie: function (_0x30c497, _0x51923d) {
_0x30c497 =
_0x30c497 ||
function (_0x4b7e18) {
return _0x4b7e18;
};
var _0x557e06 = _0x30c497(
new RegExp(
"(?:^|;\x20)" +
_0x51923d["replace"](/([.$?*|{}()[]\/+^])/g, "$1") +
"=([^;]*)"
)
);
var _0x817646 = function (_0xf3fae7, _0x5d8208) {
_0xf3fae7(++_0x5d8208);
};
_0x817646(_0x577762, _0x57c2c0);
return _0x557e06 ? decodeURIComponent(_0x557e06[0x1]) : undefined;
},
};
var _0x4673cd = function () {
var _0x4c6c5c = new RegExp(
"\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*[\x27|\x22].+[\x27|\x22];?\x20*}"
);
return _0x4c6c5c["test"](_0x16b3fe["removeCookie"]["toString"]());
};
_0x16b3fe["updateCookie"] = _0x4673cd;
var _0x5baa80 = "";
var _0x1faf19 = _0x16b3fe["updateCookie"]();
if (!_0x1faf19) {
_0x16b3fe["setCookie"](["*"], "counter", 0x1);
} else if (_0x1faf19) {
_0x5baa80 = _0x16b3fe["getCookie"](null, "counter");
} else {
_0x16b3fe["removeCookie"]();
}
};
_0x35976e();
})(_0x26da, 0x140);
var _0x4391 = function (_0x1b42d8, _0x57edc8) {
_0x1b42d8 = _0x1b42d8 - 0x0;
var _0x2fbeca = _0x26da[_0x1b42d8];
return _0x2fbeca;
};
var _0x197926 = (function () {
var _0x10598f = !![];
return function (_0xffa3b3, _0x7a40f9) {
var _0x48e571 = _0x10598f
? function () {
if (_0x7a40f9) {
var _0x2194b5 = _0x7a40f9["apply"](_0xffa3b3, arguments);
_0x7a40f9 = null;
return _0x2194b5;
}
}
: function () {};
_0x10598f = ![];
return _0x48e571;
};
})();
var _0x2c6fd7 = _0x197926(this, function () {
var _0x4828bb = function () {
return "\x64\x65\x76";
},
_0x35c3bc = function () {
return "\x77\x69\x6e\x64\x6f\x77";
};
var _0x456070 = function () {
var _0x4576a4 = new RegExp(
"\x5c\x77\x2b\x20\x2a\x5c\x28\x5c\x29\x20\x2a\x7b\x5c\x77\x2b\x20\x2a\x5b\x27\x7c\x22\x5d\x2e\x2b\x5b\x27\x7c\x22\x5d\x3b\x3f\x20\x2a\x7d"
);
return !_0x4576a4["\x74\x65\x73\x74"](
_0x4828bb["\x74\x6f\x53\x74\x72\x69\x6e\x67"]()
);
};
var _0x3fde69 = function () {
var _0xabb6f4 = new RegExp(
"\x28\x5c\x5c\x5b\x78\x7c\x75\x5d\x28\x5c\x77\x29\x7b\x32\x2c\x34\x7d\x29\x2b"
);
return _0xabb6f4["\x74\x65\x73\x74"](
_0x35c3bc["\x74\x6f\x53\x74\x72\x69\x6e\x67"]()
);
};
var _0x2d9a50 = function (_0x58fdb4) {
var _0x2a6361 = ~-0x1 >> (0x1 + (0xff % 0x0));
if (_0x58fdb4["\x69\x6e\x64\x65\x78\x4f\x66"]("\x69" === _0x2a6361)) {
_0xc388c5(_0x58fdb4);
}
};
var _0xc388c5 = function (_0x2073d6) {
var _0x6bb49f = ~-0x4 >> (0x1 + (0xff % 0x0));
if (
_0x2073d6["\x69\x6e\x64\x65\x78\x4f\x66"]((!![] + "")[0x3]) !== _0x6bb49f
) {
_0x2d9a50(_0x2073d6);
}
};
if (!_0x456070()) {
if (!_0x3fde69()) {
_0x2d9a50("\x69\x6e\x64\u0435\x78\x4f\x66");
} else {
_0x2d9a50("\x69\x6e\x64\x65\x78\x4f\x66");
}
} else {
_0x2d9a50("\x69\x6e\x64\u0435\x78\x4f\x66");
}
});
_0x2c6fd7();
console[_0x4391("0x0")](_0x4391("0x1"));如果我們將上述代碼放到控制臺,它的執(zhí)行結(jié)果和之前是一模一樣的,沒有任何問題。
如果我們將其進(jìn)行格式化,然后貼到到瀏覽器控制臺里面,瀏覽器會直接卡死無法運(yùn)行。這樣如果有人對代碼進(jìn)行了格式化,就無法正常對代碼進(jìn)行運(yùn)行和調(diào)試,從而起到了保護(hù)作用。
控制流平坦化其實(shí)就是將代碼的執(zhí)行邏輯混淆,使其變得復(fù)雜難讀。其基本思想是將一些邏輯處理塊都統(tǒng)一加上一個前驅(qū)邏輯塊,每個邏輯塊都由前驅(qū)邏輯塊進(jìn)行條件判斷和分發(fā),構(gòu)成一個個閉環(huán)邏輯,導(dǎo)致整個執(zhí)行邏輯十分復(fù)雜難讀。
比如說這里有一段示例代碼:
console.log(c);
console.log(a);
console.log(b);代碼邏輯一目了然,依次在控制臺輸出了 c、a、b 三個變量的值,但如果把這段代碼進(jìn)行控制流平坦化處理后,代碼就會變成這樣:
const s = "3|1|2".split("|");
let x = 0;
while (true) {
switch (s[x++]) {
case "1":
console.log(a);
continue;
case "2":
console.log(b);
continue;
case "3":
console.log(c);
continue;
}
break;
}可以看到,混淆后的代碼首先聲明了一個變量 s,它的結(jié)果是一個列表,其實(shí)是 ["3", "1", "2"],然后下面通過 switch 語句對 s 中的元素進(jìn)行了判斷,每個 case 都加上了各自的代碼邏輯。通過這樣的處理,一些連續(xù)的執(zhí)行邏輯就被打破了,代碼被修改為一個 switch 語句,原本我們可以一眼看出的邏輯是控制臺先輸出 c,然后才是 a、b,但是現(xiàn)在我們必須要結(jié)合 switch 的判斷條件和對應(yīng) case 的內(nèi)容進(jìn)行判斷,我們很難再一眼每條語句的執(zhí)行順序了,這就大大降低了代碼的可讀性。
在 javascript-obfuscator 中我們通過 controlFlowFlattening 變量可以控制是否開啟控制流平坦化,示例如下:
const options = {
compact: false,
controlFlowFlattening: true,
};使用控制流平坦化可以使得執(zhí)行邏輯更加復(fù)雜難讀,目前非常多的前端混淆都會加上這個選項(xiàng)。但啟用控制流平坦化之后,代碼的執(zhí)行時間會變長,最長達(dá) 1.5 倍之多。
另外我們還能使用 controlFlowFlatteningThreshold 這個參數(shù)來控制比例,取值范圍是 0 到 1,默認(rèn) 0.75,如果設(shè)置為 0,那相當(dāng)于 controlFlowFlattening 設(shè)置為 false,即不開啟控制流扁平化 。
無用代碼即不會被執(zhí)行的代碼或?qū)ι舷挛臎]有任何影響的代碼,注入之后可以對現(xiàn)有的 JavaScript 代碼的閱讀形成干擾。我們可以使用 deadCodeInjection 參數(shù)開啟這個選項(xiàng),默認(rèn)為 false。
比如這里有一段代碼:
const a = function () {
console.log("hello world");
};
const b = function () {
console.log("nice to meet you");
};
a();
b();這里就聲明了方法 a 和 b,然后依次進(jìn)行調(diào)用,分別輸出兩句話。
但經(jīng)過無用代碼注入處理之后,代碼就會變成類似這樣的結(jié)果:
const _0x16c18d = function () {
if (!![[]]) {
console.log("hello world");
} else {
console.log("this");
console.log("is");
console.log("dead");
console.log("code");
}
};
const _0x1f7292 = function () {
if ("xmv2nOdfy2N".charAt(4) !== String.fromCharCode(110)) {
console.log("this");
console.log("is");
console.log("dead");
console.log("code");
} else {
console.log("nice to meet you");
}
};
_0x16c18d();
_0x1f7292();可以看到,每個方法內(nèi)部都增加了額外的 if else 語句,其中 if 的判斷條件還是一個表達(dá)式,其結(jié)果是 true 還是 false 我們還不太一眼能看出來,比如說 _0x1f7292 這個方法,它的 if 判斷條件是:
"xmv2nOdfy2N".charAt(4) !== String.fromCharCode(110)在不等號前面其實(shí)是從字符串中取出指定位置的字符,不等號后面則調(diào)用了 fromCharCode 方法來根據(jù) ascii 碼轉(zhuǎn)換得到一個字符,然后比較兩個字符的結(jié)果是否是不一樣的。前者經(jīng)過我們推算可以知道結(jié)果是 n,但對于后者,多數(shù)情況下我們還得去查一下 ascii 碼表才能知道其結(jié)果也是 n,最后兩個結(jié)果是相同的,所以整個表達(dá)式的結(jié)果是 false,所以 if 后面跟的邏輯實(shí)際上就是不會被執(zhí)行到的無用代碼,但這些代碼對我們閱讀代碼起到了一定的干擾作用。
因此,這種混淆方式通過混入一些特殊的判斷條件并加入一些不會被執(zhí)行的代碼,可以對代碼起到一定的混淆干擾作用。
在 javascript-obfuscator 中,我們可以通過 deadCodeInjection 參數(shù)控制無用代碼的注入,配置如下:
const options = {
compact: false,
deadCodeInjection: true,
};另外我們還可以通過設(shè)置 deadCodeInjectionThreshold 參數(shù)來控制無用代碼注入的比例,取值 0 到 1,默認(rèn)是 0.4。
如果是一個對象,可以使用 transformObjectKeys 來對對象的鍵值進(jìn)行替換,示例如下:
const code = `
(function(){
var object = {
foo: 'test1',
bar: {
baz: 'test2'
}
};
})();
`;
const options = {
compact: false,
transformObjectKeys: true,
};輸出結(jié)果如下:
var _0x7a5d = ["bar", "test2", "test1"];
(function (_0x59fec5, _0x2e4fac) {
var _0x231e7a = function (_0x46f33e) {
while (--_0x46f33e) {
_0x59fec5["push"](_0x59fec5["shift"]());
}
};
_0x231e7a(++_0x2e4fac);
})(_0x7a5d, 0x167);
var _0x3bc4 = function (_0x309ad3, _0x22d5ac) {
_0x309ad3 = _0x309ad3 - 0x0;
var _0x3a034e = _0x7a5d[_0x309ad3];
return _0x3a034e;
};
(function () {
var _0x9f1fd1 = {};
_0x9f1fd1["foo"] = _0x3bc4("0x0");
_0x9f1fd1[_0x3bc4("0x1")] = {};
_0x9f1fd1[_0x3bc4("0x1")]["baz"] = _0x3bc4("0x2");
})();可以看到,Object 的變量名被替換為了特殊的變量,使得可讀性變差,這樣我們就不好直接通過變量名進(jìn)行搜尋了,這也可以起到一定的防護(hù)作用。
可以使用 disableConsoleOutput 來禁用掉 console.log 輸出功能,加大調(diào)試難度,示例如下:
const code = `
console.log('hello world')
`;
const options = {
disableConsoleOutput: true,
};運(yùn)行結(jié)果如下:
var _0x3a39 = [
"debug",
"info",
"error",
"exception",
"trace",
"hello\x20world",
"apply",
"{}.constructor(\x22return\x20this\x22)(\x20)",
"console",
"log",
"warn",
];
(function (_0x2a157a, _0x5d9d3b) {
var _0x488e2c = function (_0x5bcb73) {
while (--_0x5bcb73) {
_0x2a157a["push"](_0x2a157a["shift"]());
}
};
_0x488e2c(++_0x5d9d3b);
})(_0x3a39, 0x10e);
var _0x5bff = function (_0x43bdfc, _0x52e4c6) {
_0x43bdfc = _0x43bdfc - 0x0;
var _0xb67384 = _0x3a39[_0x43bdfc];
return _0xb67384;
};
var _0x349b01 = (function () {
var _0x1f484b = !![];
return function (_0x5efe0d, _0x33db62) {
var _0x20bcd2 = _0x1f484b
? function () {
if (_0x33db62) {
var _0x77054c = _0x33db62[_0x5bff("0x0")](_0x5efe0d, arguments);
_0x33db62 = null;
return _0x77054c;
}
}
: function () {};
_0x1f484b = ![];
return _0x20bcd2;
};
})();
var _0x19f538 = _0x349b01(this, function () {
var _0x7ab6e4 = function () {};
var _0x157bff;
try {
var _0x5e672c = Function(
"return\x20(function()\x20" + _0x5bff("0x1") + ");"
);
_0x157bff = _0x5e672c();
} catch (_0x11028d) {
_0x157bff = window;
}
if (!_0x157bff[_0x5bff("0x2")]) {
_0x157bff[_0x5bff("0x2")] = (function (_0x7ab6e4) {
var _0x5a8d9e = {};
_0x5a8d9e[_0x5bff("0x3")] = _0x7ab6e4;
_0x5a8d9e[_0x5bff("0x4")] = _0x7ab6e4;
_0x5a8d9e[_0x5bff("0x5")] = _0x7ab6e4;
_0x5a8d9e[_0x5bff("0x6")] = _0x7ab6e4;
_0x5a8d9e[_0x5bff("0x7")] = _0x7ab6e4;
_0x5a8d9e[_0x5bff("0x8")] = _0x7ab6e4;
_0x5a8d9e[_0x5bff("0x9")] = _0x7ab6e4;
return _0x5a8d9e;
})(_0x7ab6e4);
} else {
_0x157bff[_0x5bff("0x2")][_0x5bff("0x3")] = _0x7ab6e4;
_0x157bff[_0x5bff("0x2")][_0x5bff("0x4")] = _0x7ab6e4;
_0x157bff[_0x5bff("0x2")]["debug"] = _0x7ab6e4;
_0x157bff[_0x5bff("0x2")][_0x5bff("0x6")] = _0x7ab6e4;
_0x157bff[_0x5bff("0x2")][_0x5bff("0x7")] = _0x7ab6e4;
_0x157bff[_0x5bff("0x2")][_0x5bff("0x8")] = _0x7ab6e4;
_0x157bff[_0x5bff("0x2")][_0x5bff("0x9")] = _0x7ab6e4;
}
});
_0x19f538();
console[_0x5bff("0x3")](_0x5bff("0xa"));此時,我們?nèi)绻麍?zhí)行這個代碼,發(fā)現(xiàn)是沒有任何輸出的,這里實(shí)際上就是將 console 的一些功能禁用了。
我們知道,在 JavaScript 代碼中如果加入 debugger 這個關(guān)鍵字,那么在執(zhí)行到該位置的時候控制它就會進(jìn)入斷點(diǎn)調(diào)試模式。如果在代碼多個位置都加入 debugger 這個關(guān)鍵字,或者定義某個邏輯來反復(fù)執(zhí)行 debugger,那就會不斷進(jìn)入斷點(diǎn)調(diào)試模式,原本的代碼無法就無法順暢地執(zhí)行了。這個過程可以稱為調(diào)試保護(hù),即通過反復(fù)執(zhí)行 debugger 來使得原來的代碼無法順暢執(zhí)行。
其效果類似于執(zhí)行了如下代碼:
setInterval(() => {
debugger;
}, 3000);如果我們把這段代碼粘貼到控制臺,它就會反復(fù)地執(zhí)行 debugger 語句進(jìn)入斷點(diǎn)調(diào)試模式,從而干擾正常的調(diào)試流程。
在 javascript-obfuscator 中可以使用 debugProtection 來啟用調(diào)試保護(hù)機(jī)制,還可以使用 debugProtectionInterval 來啟用無限 Debug ,使得代碼在調(diào)試過程中會不斷進(jìn)入斷點(diǎn)模式,無法順暢執(zhí)行,配置如下:
const options = {
debugProtection: true,
debugProtectionInterval: true,
};混淆后的代碼會不斷跳到 debugger 代碼的位置,使得整個代碼無法順暢執(zhí)行,對 JavaScript 代碼的調(diào)試形成一定的干擾。
我們還可以通過控制 domainLock 來控制 JavaScript 代碼只能在特定域名下運(yùn)行,這樣就可以降低代碼被模擬或盜用的風(fēng)險。
示例如下:
const code = `
console.log('hello world')
`;
const options = {
domainLock: ["cuiqingcai.com"],
};這里我們使用了 domainLock 指定了一個域名叫做 cuiqingcai.com,也就是設(shè)置了一個域名白名單,混淆后的代碼結(jié)果如下:
var _0x3203 = [
"apply",
"return\x20(function()\x20",
"{}.constructor(\x22return\x20this\x22)(\x20)",
"item",
"attribute",
"value",
"replace",
"length",
"charCodeAt",
"log",
"hello\x20world",
];
(function (_0x2ed22c, _0x3ad370) {
var _0x49dc54 = function (_0x53a786) {
while (--_0x53a786) {
_0x2ed22c["push"](_0x2ed22c["shift"]());
}
};
_0x49dc54(++_0x3ad370);
})(_0x3203, 0x155);
var _0x5b38 = function (_0xd7780b, _0x19c0f2) {
_0xd7780b = _0xd7780b - 0x0;
var _0x2d2f44 = _0x3203[_0xd7780b];
return _0x2d2f44;
};
var _0x485919 = (function () {
var _0x5cf798 = !![];
return function (_0xd1fa29, _0x2ed646) {
var _0x56abf = _0x5cf798
? function () {
if (_0x2ed646) {
var _0x33af63 = _0x2ed646[_0x5b38("0x0")](_0xd1fa29, arguments);
_0x2ed646 = null;
return _0x33af63;
}
}
: function () {};
_0x5cf798 = ![];
return _0x56abf;
};
})();
var _0x67dcc8 = _0x485919(this, function () {
var _0x276a31;
try {
var _0x5c8be2 = Function(_0x5b38("0x1") + _0x5b38("0x2") + ");");
_0x276a31 = _0x5c8be2();
} catch (_0x5f1c00) {
_0x276a31 = window;
}
var _0x254a0d = function () {
return {
key: _0x5b38("0x3"),
value: _0x5b38("0x4"),
getAttribute: (function () {
for (var _0x5cc3c7 = 0x0; _0x5cc3c7 < 0x3e8; _0x5cc3c7--) {
var _0x35b30b = _0x5cc3c7 > 0x0;
switch (_0x35b30b) {
case !![]:
return (
this[_0x5b38("0x3")] +
"_" +
this[_0x5b38("0x5")] +
"_" +
_0x5cc3c7
);
default:
this[_0x5b38("0x3")] + "_" + this[_0x5b38("0x5")];
}
}
})(),
};
};
var _0x3b375a = new RegExp("[QLCIKYkCFzdWpzRAXMhxJOYpTpYWJHPll]", "g");
var _0x5a94d2 = "cuQLiqiCInKYkgCFzdWcpzRAaXMi.hcoxmJOYpTpYWJHPll"
[_0x5b38("0x6")](_0x3b375a, "")
["split"](";");
var _0x5c0da2;
var _0x19ad5d;
var _0x5992ca;
var _0x40bd39;
for (var _0x5cad1 in _0x276a31) {
if (
_0x5cad1[_0x5b38("0x7")] == 0x8 &&
_0x5cad1[_0x5b38("0x8")](0x7) == 0x74 &&
_0x5cad1[_0x5b38("0x8")](0x5) == 0x65 &&
_0x5cad1[_0x5b38("0x8")](0x3) == 0x75 &&
_0x5cad1[_0x5b38("0x8")](0x0) == 0x64
) {
_0x5c0da2 = _0x5cad1;
break;
}
}
for (var _0x29551 in _0x276a31[_0x5c0da2]) {
if (
_0x29551[_0x5b38("0x7")] == 0x6 &&
_0x29551[_0x5b38("0x8")](0x5) == 0x6e &&
_0x29551[_0x5b38("0x8")](0x0) == 0x64
) {
_0x19ad5d = _0x29551;
break;
}
}
if (!("~" > _0x19ad5d)) {
for (var _0x2b71bd in _0x276a31[_0x5c0da2]) {
if (
_0x2b71bd[_0x5b38("0x7")] == 0x8 &&
_0x2b71bd[_0x5b38("0x8")](0x7) == 0x6e &&
_0x2b71bd[_0x5b38("0x8")](0x0) == 0x6c
) {
_0x5992ca = _0x2b71bd;
break;
}
}
for (var _0x397f55 in _0x276a31[_0x5c0da2][_0x5992ca]) {
if (
_0x397f55["length"] == 0x8 &&
_0x397f55[_0x5b38("0x8")](0x7) == 0x65 &&
_0x397f55[_0x5b38("0x8")](0x0) == 0x68
) {
_0x40bd39 = _0x397f55;
break;
}
}
}
if (!_0x5c0da2 || !_0x276a31[_0x5c0da2]) {
return;
}
var _0x5f19be = _0x276a31[_0x5c0da2][_0x19ad5d];
var _0x674f76 =
!!_0x276a31[_0x5c0da2][_0x5992ca] &&
_0x276a31[_0x5c0da2][_0x5992ca][_0x40bd39];
var _0x5e1b34 = _0x5f19be || _0x674f76;
if (!_0x5e1b34) {
return;
}
var _0x593394 = ![];
for (var _0x479239 = 0x0; _0x479239 < _0x5a94d2["length"]; _0x479239++) {
var _0x19ad5d = _0x5a94d2[_0x479239];
var _0x112c24 = _0x5e1b34["length"] - _0x19ad5d["length"];
var _0x51731c = _0x5e1b34["indexOf"](_0x19ad5d, _0x112c24);
var _0x173191 = _0x51731c !== -0x1 && _0x51731c === _0x112c24;
if (_0x173191) {
if (
_0x5e1b34["length"] == _0x19ad5d[_0x5b38("0x7")] ||
_0x19ad5d["indexOf"](".") === 0x0
) {
_0x593394 = !![];
}
}
}
if (!_0x593394) {
data;
} else {
return;
}
_0x254a0d();
});
_0x67dcc8();
console[_0x5b38("0x9")](_0x5b38("0xa"));這段代碼就只能在指定域名 cuiqingcai.com 下運(yùn)行,不能在其他網(wǎng)站運(yùn)行。這樣的話,如果一些相關(guān) JavaScript 代碼被單獨(dú)剝離出來,想在其他網(wǎng)站運(yùn)行或者使用程序模擬運(yùn)行的話,運(yùn)行結(jié)果只有是失敗,這樣就可以有效降低被代碼被模擬或盜用的風(fēng)險。
另外還有一些特殊的工具包,如使用 aaencode、jjencode、jsfuck 等工具對代碼進(jìn)行混淆和編碼。
示例如下:
var a = 1jsfuck 的結(jié)果:
[][(![]+[])[!+[]+!![]+!![]]+([]+{})[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][([]+{})[!+[]+!![]+!![]+!![]+!![]]+([]+{})[+!![]]+([][[]]+[])[+!![]]+(![]+[])[!+[]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+([][[]]+[])[+[]]+([]+{})[!+[]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+([]+{})[+!![]]+(!![]+[])[+!![]]]([][(![]+[])[!+[]+!![]+!![]]+([]+{})[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][([]+{})[!+[]+!![]+!![]+!![]+!![]]+([]+{})[+!![]]+([][[]]+[])[+!![]]+
...
([]+{})[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+([][[]]+[])[!+[]+!![]+!![]]+(!![]+[])[+[]]+([][[]]+[])[+[]]+(!![]+[])[+!![]]+([][[]]+[])[+!![]]+([]+{})[!+[]+!![]+!![]+!![]+!![]+!![]+!![]]+(![]+[])[!+[]+!![]]+([]+{})[+!![]]+([]+{})[!+[]+!![]+!![]+!![]+!![]]+(+{}+[])[+!![]]+(!![]+[])[+[]]+([][[]]+[])[!+[]+!![]+!![]+!![]+!![]]+([]+{})[+!![]]+([][[]]+[])[+!![]])(!+[]+!![]+!![]+!![]+!![]))[!+[]+!![]+!![]]+([][[]]+[])[!+[]+!![]+!![]])(!+[]+!![]+!![]+!![]+!![])(([]+{})[+[]])[+[]]+(!+[]+!![]+!![]+[])+([][[]]+[])[!+[]+!![]])+([]+{})[!+[]+!![]+!![]+!![]+!![]+!![]+!![]]+(+!![]+[]))(!+[]+!![]+!![]+!![]+!![]+!![]+!![]+!![])aaencode 的結(jié)果:
?ω??= /`m′)? ~┻━┻ / ['_']; o=(???) =_=3; c=(?Θ?) =(???)-(???); (?Д?) =(?Θ?)= (o^_^o)/ (o^_^o);(?Д?)={?Θ?: '_' ,?ω?? : ((?ω??==3) +'_') [?Θ?] ,???? :(?ω??+ '_')[o^_^o -(?Θ?)] ,?Д??:((???==3) +'_')[???] }; (?Д?) [?Θ?] =((?ω??==3) +'_') [c^_^o];(?Д?) ['c'] = ((?Д?)+'_') [ (???)+(???)-(?Θ?) ];(?Д?) ['o'] = ((?Д?)+'_') [?Θ?];(?o?)=(?Д?) ['c']+(?Д?) ['o']+(?ω?? +'_')[?Θ?]+ ((?ω??==3) +'_') [???] + ((?Д?) +'_') [(???)+(???)]+ ((???==3) +'_') [?Θ?]+((???==3) +'_') [(???) - (?Θ?)]+(?Д?) ['c']+((?Д?)+'_') [(???)+(???)]+ (?Д?) ['o']+((???==3) +'_') [?Θ?];(?Д?) ['_'] =(o^_^o) [?o?] [?o?];(?ε?)=((???==3) +'_') [?Θ?]+ (?Д?) .?Д??+((?Д?)+'_') [(???) + (???)]+((???==3) +'_') [o^_^o -?Θ?]+((???==3) +'_') [?Θ?]+ (?ω?? +'_') [?Θ?]; (???)+=(?Θ?); (?Д?)[?ε?]='\'; (?Д?).?Θ??=(?Д?+ ???)[o^_^o -(?Θ?)];(o???o)=(?ω?? +'_')[c^_^o];(?Д?) [?o?]='\"';(?Д?) ['_'] ( (?Д?) ['_'] (?ε?+(?Д?)[?o?]+ (?Д?)[?ε?]+(?Θ?)+ ((o^_^o) +(o^_^o))+ ((o^_^o) +(o^_^o))+ (?Д?)[?ε?]+(?Θ?)+ (???)+ (?Θ?)+ (?Д?)[?ε?]+(?Θ?)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (?Θ?))+ (?Д?)[?ε?]+(???)+ (c^_^o)+ (?Д?)[?ε?]+(?Θ?)+ (???)+ (?Θ?)+ (?Д?)[?ε?]+(???)+ (c^_^o)+ (?Д?)[?ε?]+((???) + (o^_^o))+ ((???) + (?Θ?))+ (?Д?)[?ε?]+(???)+ (c^_^o)+ (?Д?)[?ε?]+((o^_^o) +(o^_^o))+ (?Θ?)+ (?Д?)[?o?])(?Θ?))((?Θ?)+(?Д?)[?ε?]+((???)+(?Θ?))+(?Θ?)+(?Д?)[?o?]);jjencode 的結(jié)果:
$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\"+$.__$+$.$$_+$.$$_+$.$_$_+"\"+$.__$+$.$$_+$._$_+"\"+$.$__+$.___+$.$_$_+"\"+$.$__+$.___+"=\"+$.$__+$.___+$.__$+"\"")())();可以看到,通過這些工具,原本非常簡單的代碼被轉(zhuǎn)化為一些幾乎完全不可讀的代碼,但實(shí)際上運(yùn)行效果還是相同的。這些混淆方式比較另類,看起來雖然沒有什么頭緒,但實(shí)際上找到規(guī)律是非常好還原的,其沒有真正達(dá)到強(qiáng)力混淆的效果。
以上便是對 JavaScript 混淆方式的介紹和總結(jié)。總的來說,經(jīng)過混淆的 JavaScript 代碼其可讀性大大降低,同時防護(hù)效果也大大增強(qiáng)。
隨著技術(shù)的發(fā)展,WebAssembly 逐漸流行起來。不同于 JavaScript 混淆技術(shù), WebAssembly 其基本思路是將一些核心邏輯使用其他語言(如 C/C++ 語言)來編寫,并編譯成類似字節(jié)碼的文件,并通過 JavaScript 調(diào)用執(zhí)行,從而起到二進(jìn)制級別的防護(hù)作用。
WebAssembly 是一種可以使用非 JavaScript 編程語言編寫代碼并且能在瀏覽器上運(yùn)行的技術(shù)方案,比如借助于我們能將 C/C++ 利用 Emscripten 編譯工具轉(zhuǎn)成 wasm 格式的文件, JavaScript 可以直接調(diào)用該文件執(zhí)行其中的方法。
WebAssembly 是經(jīng)過編譯器編譯之后的字節(jié)碼,可以從 C/C++ 編譯而來,得到的字節(jié)碼具有和 JavaScript 相同的功能,運(yùn)行速度更快,體積更小,而且在語法上完全脫離 JavaScript,同時具有沙盒化的執(zhí)行環(huán)境。
比如這就是一個基本的 WebAssembly 示例:
WebAssembly.compile(
new Uint8Array(
`
00 61 73 6d 01 00 00 00 01 0c 02 60 02 7f 7f 01
7f 60 01 7f 01 7f 03 03 02 00 01 07 10 02 03 61
64 64 00 00 06 73 71 75 61 72 65 00 01 0a 13 02
08 00 20 00 20 01 6a 0f 0b 08 00 20 00 20 00 6c
0f 0b`
.trim()
.split(/[\s\r\n]+/g)
.map((str) => parseInt(str, 16))
)
).then((module) => {
const instance = new WebAssembly.Instance(module);
const { add, square } = instance.exports;
console.log("2 + 4 =", add(2, 4));
console.log("3^2 =", square(3));
console.log("(2 + 5)^2 =", square(add(2 + 5)));
});這里其實(shí)是利用 WebAssembly 定義了兩個方法,分別是 add 和 square,可以分別用于求和和開平方計(jì)算。那這兩個方法在哪里聲明的呢?其實(shí)它們被隱藏在了一個 Uint8Array 里面,僅僅查看明文代碼我們確實(shí)無從知曉里面究竟定義了什么邏輯,但確實(shí)是可以執(zhí)行的,我們將這段代碼輸入到瀏覽器控制臺下,運(yùn)行結(jié)果如下:
2 + 4 = 6
3^2 = 9
(2 + 5)^2 = 49由此可見,通過 WebAssembly 我們可以成功將核心邏輯“隱藏”起來,這樣某些核心邏輯就不能被輕易找出來了。
所以,很多網(wǎng)站越來越多使用 WebAssembly 技術(shù)來保護(hù)一些核心邏輯不被輕易被人識別或破解,可以起到更好的防護(hù)效果。
以上,我們就介紹了接口加密技術(shù)和 JavaScript 的壓縮、混淆技術(shù),也對 WebAssembly 技術(shù)有了初步的了解,知己知彼方能百戰(zhàn)不殆,了解了原理,我們才能更好地去實(shí)現(xiàn) JavaScript 的逆向。
本節(jié)代碼:https://github.com/Python3WebSpider/JavaScriptObfuscate。
由于本節(jié)涉及一些專業(yè)名詞,部分內(nèi)容參考來源如下:
作者 論 壇賬號: 李恒道
感謝videohelp論壇larley大神的解答!
感謝吾愛破解論壇@濤之雨大神的幫助
首先第一層是標(biāo)準(zhǔn)的OB加密
我們先大概規(guī)整一下代碼
復(fù)制代碼 隱藏代碼? ? traverse(ast, {
? ?? ???CallExpression(path) {
? ?? ?? ?? ?if (path.node.arguments.length === 2) {
? ?? ?? ?? ?? ? const type0 = path.node.arguments[0].type
? ?? ?? ?? ?? ? const type1 = path.node.arguments[1].type
? ?? ?? ?? ?? ? const isLikelyNumber = (type) => {
? ?? ?? ?? ?? ?? ???return type === 'UnaryExpression' || type === 'NumericLiteral'
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ? if ((type0 === 'StringLiteral' isLikelyNumber(type1)) || (type1 === 'StringLiteral' isLikelyNumber(type0))) {
? ?? ?? ?? ?? ?? ???const funcBinding = path.scope.getBinding(path.node.callee.name)
? ?? ?? ?? ?? ?? ???const funcNode = funcBinding.path.node
? ?? ?? ?? ?? ?? ???if (funcNode?.params?.length !== 2) {
? ?? ?? ?? ?? ?? ?? ?? ?return
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???if (funcNode.body.body.length !== 1) {
? ?? ?? ?? ?? ?? ?? ?? ?return
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???if (funcNode.body.body[0].type !== 'ReturnStatement') {
? ?? ?? ?? ?? ?? ?? ?? ?return
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???const funcArgs0 = funcNode.params[0].name
? ?? ?? ?? ?? ?? ???const funcArgs1 = funcNode.params[1].name
? ?? ?? ?? ?? ?? ???const bodyCallArgs = funcNode.body.body[0].argument.arguments
? ?? ?? ?? ?? ?? ???let isSwap = false
? ?? ?? ?? ?? ?? ???for (let index = 0; index < bodyCallArgs.length; index++) {
? ?? ?? ?? ?? ?? ?? ?? ?const item = bodyCallArgs[index];
? ?? ?? ?? ?? ?? ?? ?? ?if (item.type === 'Identifier') {
? ?? ?? ?? ?? ?? ?? ?? ?? ? if (item.name === funcArgs0 index === 1) {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???isSwap = true
? ?? ?? ?? ?? ?? ?? ?? ?? ? } else if (item.name === funcArgs1 index === 0) {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???isSwap = true
? ?? ?? ?? ?? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ?? ?? ?? ?? ? break;
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???const handleExpression = (bodyExpress, argsIdentifier) => {
? ?? ?? ?? ?? ?? ?? ?? ?if (bodyExpress.type !== 'BinaryExpression') {
? ?? ?? ?? ?? ?? ?? ?? ?? ? return argsIdentifier
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ?? ?? ?const handleIdentifier = (item) => {
? ?? ?? ?? ?? ?? ?? ?? ?? ? if (item.type !== 'Identifier') {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???return item
? ?? ?? ?? ?? ?? ?? ?? ?? ? } else {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???return argsIdentifier
? ?? ?? ?? ?? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ?? ?? ?const numAst = types.binaryExpression(bodyExpress.operator, handleIdentifier(bodyExpress.left), handleIdentifier(bodyExpress.right))
? ?? ?? ?? ?? ?? ?? ?? ?const numResult = eval(generator(numAst).code)
? ?? ?? ?? ?? ?? ?? ?? ?return types.numericLiteral(numResult)
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???const firstIdentifier = path.node.arguments[0]
? ?? ?? ?? ?? ?? ???const secondIdentifier = path.node.arguments[1]
? ?? ?? ?? ?? ?? ???let newCalleeArgs = [handleExpression(bodyCallArgs[0], isSwap ? secondIdentifier : firstIdentifier), handleExpression(bodyCallArgs[1], isSwap ? firstIdentifier : secondIdentifier)]
? ?? ?? ?? ?? ?? ???let newNode = types.callExpression(funcNode.body.body[0].argument.callee, newCalleeArgs);
? ?? ?? ?? ?? ?? ???path.replaceInline(newNode)
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?}
? ?? ???},
? ? });
然后獲取解密的函數(shù),這里因?yàn)楸容^偷懶,所以直接使用了正則表達(dá)式計(jì)算關(guān)鍵函數(shù)
復(fù)制代碼 隱藏代碼function generatorHandleCrackStringFunc(text) {
? ? const matchResult = text.match(/\d{4,}\);\s?(function.*),\s?[A-Za-z].[A-Za-z]\s?=\s?[A-Za-z]/)
? ? if (matchResult.length !== 2) {
? ?? ???throw new Error('代碼解析失敗!')
? ? }
? ? const funcName = matchResult[1].match(/function ([A-Za-z])\([A-Za-z],\s?[A-Za-z]\).*(?=abc)/)[1]
? ? return {
? ?? ???crackName: funcName,
? ?? ???crackCharFunc: new Function([], matchResult[1] + ';return function(num,char){return ' + funcName + '(num, char)}')()
? ? }
}
然后調(diào)用解密函數(shù)
復(fù)制代碼 隱藏代碼? ? traverse(ast, {
? ?? ???CallExpression(path) {
? ?? ?? ?? ?if (path.node.arguments.length === 2) {
? ?? ?? ?? ?? ? if (path.node.callee.name !== name) {
? ?? ?? ?? ?? ?? ???return
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ? if (path.node.arguments[0].type !== 'NumericLiteral') {
? ?? ?? ?? ?? ?? ???return;
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ? if (path.node.arguments[1].type !== 'StringLiteral') {
? ?? ?? ?? ?? ?? ???return;
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ? const nodeResult = handleStringFunc(path.node.arguments[0].value, path.node.arguments[1].value)
? ?? ?? ?? ?? ? path.replaceInline(types.stringLiteral(nodeResult))
? ?? ?? ?? ?}
? ?? ???},
? ? });
然后對解密后的字符串和數(shù)字等做一下合并
復(fù)制代碼 隱藏代碼? ? const handleObfs = {
? ?? ???CallExpression: {
? ?? ?? ?? ?exit(outerPath) {
? ?? ?? ?? ?? ? const node = outerPath.node.callee
? ?? ?? ?? ?? ? const parentPath = outerPath
? ?? ?? ?? ?? ? if (node?.object?.type === 'Identifier' node?.property?.type === 'StringLiteral') {
? ?? ?? ?? ?? ?? ???const objBinding = outerPath.scope.getBinding(node.object.name)
? ?? ?? ?? ?? ?? ???if (objBinding === undefined) {
? ?? ?? ?? ?? ?? ?? ?? ?return;
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???const objNode = objBinding.path.node
? ?? ?? ?? ?? ?? ???const funcList = objNode.init?.properties ?? []
? ?? ?? ?? ?? ?? ???const funcInstance = funcList.find((item) => {
? ?? ?? ?? ?? ?? ?? ?? ?const keyName = item.key.name
? ?? ?? ?? ?? ?? ?? ?? ?return keyName === node.property.value
? ?? ?? ?? ?? ?? ???})
? ?? ?? ?? ?? ?? ???if (funcInstance) {
? ?? ?? ?? ?? ?? ?? ?? ?const parentNode = parentPath.node
? ?? ?? ?? ?? ?? ?? ?? ?let replaceAst = null
? ?? ?? ?? ?? ?? ?? ?? ?if (funcInstance.value.type === 'FunctionExpression') {
? ?? ?? ?? ?? ?? ?? ?? ?? ? const originNode = funcInstance.value.body.body[0].argument
? ?? ?? ?? ?? ?? ?? ?? ?? ? //函數(shù)
? ?? ?? ?? ?? ?? ?? ?? ?? ? if (originNode.type === 'CallExpression') {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???replaceAst = types.callExpression(parentNode.arguments[0], [...parentNode.arguments].splice(1))
? ?? ?? ?? ?? ?? ?? ?? ?? ? } else if (originNode.type === 'BinaryExpression') {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???replaceAst = types.binaryExpression(originNode.operator, parentNode.arguments[0], parentNode.arguments[1])
? ?? ?? ?? ?? ?? ?? ?? ?? ? }
? ?? ?? ?? ?? ?? ?? ?? ?} else {
? ?? ?? ?? ?? ?? ?? ?? ?? ? //字符串
? ?? ?? ?? ?? ?? ?? ?? ?? ? debugger
? ?? ?? ?? ?? ?? ?? ?? ?? ? replaceAst = types.stringLiteral(funcInstance.value.value)
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ?? ?? ?if (replaceAst) {
? ?? ?? ?? ?? ?? ?? ?? ?? ? parentPath.replaceWith(replaceAst)
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?}
? ?? ???},
? ?? ???MemberExpression: {
? ?? ?? ?? ?enter(path) {
? ?? ?? ?? ?? ? const node = path.node
? ?? ?? ?? ?? ? if (node?.object?.type === 'Identifier' node?.property?.type === 'StringLiteral') {
? ?? ?? ?? ?? ?? ???const objBinding = path.scope.getBinding(node.object.name)
? ?? ?? ?? ?? ?? ???if (objBinding === undefined) {
? ?? ?? ?? ?? ?? ?? ?? ?return;
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ?? ???const objNode = objBinding.path.node
? ?? ?? ?? ?? ?? ???const funcList = objNode.init?.properties ?? []
? ?? ?? ?? ?? ?? ???const funcInstance = funcList.find((item) => {
? ?? ?? ?? ?? ?? ?? ?? ?const keyName = item.key.name
? ?? ?? ?? ?? ?? ?? ?? ?return keyName === node.property.value
? ?? ?? ?? ?? ?? ???})
? ?? ?? ?? ?? ?? ???if (funcInstance) {
? ?? ?? ?? ?? ?? ?? ?? ?let replaceAst = null
? ?? ?? ?? ?? ?? ?? ?? ?if (funcInstance.value.type === 'StringLiteral') {
? ?? ?? ?? ?? ?? ?? ?? ?? ? replaceAst = types.stringLiteral(funcInstance.value.value)
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ?? ?? ?if (replaceAst) {
? ?? ?? ?? ?? ?? ?? ?? ?? ? path.replaceWith(replaceAst)
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ???}
? ?? ?? ?? ?? ? }
? ?? ?? ?? ?}
? ?? ???}
? ? }
? ? traverse(ast, handleObfs);
我們可以從已經(jīng)解密的文件里提取一些關(guān)鍵字符串
復(fù)制代碼 隱藏代碼? ? const mathRsult = code.match(/\[\"(.*)\", [a-zA-Z]\[\"time\"\][\s\S]*\[\"sign\"\] = \[\"([0-9]*)\".*function \(([a-zA-Z])\) {([\s\S]*)}\([a-zA-Z]\)\,.*?"([a-zA-Z0-9]{3,})"/)
? ? if (mathRsult.length !== 6) {
? ?? ???throw new Error('密鑰解析失敗!')
? ? }
? ? const signPrefix = mathRsult[2]
? ? const signEnd = mathRsult[5]
? ? const prefixToken = mathRsult[1]
? ? const hashFunc = new Function(mathRsult[3], mathRsult[4])
接下來直接調(diào)試可以解出來BCToken的算法
復(fù)制代碼 隱藏代碼? ? function generateBcToken() {
? ?? ???if (bcToken !== "") {
? ?? ?? ?? ?return bcToken
? ?? ???}
? ?? ???const V = () => 1e12 * Math.random()
? ?? ???const UA = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36'
? ?? ???const hash = sha1.create();
? ?? ???const text = [(new Date).getTime(), V(), V(), UA].map(btoa).join(".")
? ?? ???console.log(text)
? ?? ???hash.update(text);
? ?? ???bcToken = hash.hex()
? ?? ???return bcToken
? ? }
Sign加密算法也可以解出來了
復(fù)制代碼 隱藏代碼? ? function generateSha({ url, auth_id }) {
? ?? ???const fixPrefix = prefixToken;
? ?? ???let time = +new Date();
? ?? ???const toeknURL = [fixPrefix, time, url, auth_id || 0].join(`\n`);
? ?? ???const hash = sha1.create();
? ?? ???hash.update(toeknURL);
? ?? ???return {
? ?? ?? ?? ?token: hash.hex(),
? ?? ?? ?? ?time: time
? ?? ???}
? ? }
? ?? ? function??getSign({ url, auth_id }) {
? ?? ?? ?? ?const { time, token } = generateSha({ url, auth_id })
? ?? ?? ?? ?return {
? ?? ?? ?? ?? ? sign: [signPrefix, token, hashFunc(token), signEnd].join(':'),
? ?? ?? ?? ?? ? time: time
? ?? ?? ?? ?}
? ?? ???}
那基本的算法解密就搞定了,但是最近還更新了DRM
其中給了一個mpt和m3u8
分別有不同的密鑰
根據(jù)測試DRM的密鑰是需要寫在Cookies里的
但是詭異的事情來了
postman可以測試成功,cmd測試失敗,代碼測試失敗,powershell測試成功
ffmpeg測試也失敗
我的第一反應(yīng)可能是TLS指紋校驗(yàn)了
這部分事后發(fā)現(xiàn)1.1也可以了,只要同ip就行,我也不確定到底是我測試錯誤還是后期改了
所以這部分可以直接忽略,但是因?yàn)槲易约河X得補(bǔ)上HTTP2的代碼有利于思路的連貫性分析和大家下次直接抄輪子
思慮之后決定保留了下來
于是在https://github.com/nodejs/undici/issues/1983
抄了一段,改成OF網(wǎng)站的,這里就按下不表了
復(fù)制代碼 隱藏代碼const undici = require("undici")
const tls = require("tls")
// From https://httptoolkit.com/blog/tls-fingerprinting-node-js/
const defaultCiphers = tls.DEFAULT_CIPHERS.split(':');
const shuffledCiphers = [
? ? defaultCiphers[1],
? ? defaultCiphers[2],
? ? defaultCiphers[0],
? ? ...defaultCiphers.slice(3)
].join(':');
const connector = undici.buildConnector({ ciphers: shuffledCiphers })
const client = new undici.Client("https://en.zalando.de", { connect: connector })
undici.request("https://en.zalando.de/api/navigation", {
? ? dispatcher: client,
? ? headers: {
? ?? ???"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36"
? ? }
}).then(async (res) => {
? ? const body = await res.body.json()
? ? console.log(body)
})
依然沒有成功,這個時候還跟無頭蒼蠅一樣打轉(zhuǎn),我認(rèn)為可能是TLS因?yàn)镹ode修改的不徹底導(dǎo)致的,決定切換Go技術(shù)棧試試
于是找到了https://juejin.cn/post/7073264626506399751#heading-4
測試驚覺發(fā)現(xiàn)竟然是HTTTP2
于是返回抓包看了一眼
發(fā)現(xiàn)確實(shí)都是HTTP2!
那果斷切一下HTTP2的通信協(xié)議試一下
復(fù)制代碼 隱藏代碼js
const http2 = require("http2");
const client = http2.connect("https://cdn3.OF網(wǎng)站.com");
const req = client.request({
??":method": "GET",
??":path": "/dash/files/3/3f/XXX/XXX.mpd",
??"accept": "*/*",
??"accept-language": "zh-CN,zh;q=0.9",
??"cache-control": "no-cache",
??"pragma": "no-cache",
??"priority": "u=1, i",
??"sec-ch-ua": "\"Not/A)Brand\";v=\"8\", \"Chromium\";v=\"126\", \"Google Chrome\";v=\"126\"",
??"sec-ch-ua-mobile": "?0",
??"sec-ch-ua-platform": "\"Windows\"",
??"sec-fetch-dest": "empty",
??"sec-fetch-mode": "cors",
??"sec-fetch-site": "same-site",
??"cookie": "保護(hù)隱私",
??"Referer": "https://OF網(wǎng)站.com/",
??"Referrer-Policy": "strict-origin-when-cross-origin"
});
let data = "";
req.on("response", (headers, flags) => {
??for (const name in headers) {
? ? console.log(`${name}: ${headers[name]}`);
??}
});
req.on("data", chunk => {
??data += chunk;
});
req.on("end", () => {
??console.log(data);
??client.close();
});
req.end();
果然成功讀取到數(shù)據(jù)!
根據(jù)查看同類庫OF-DRM (這個庫真的幫助了我很多思路)
可以發(fā)現(xiàn)使用了一個yt-dlp
我們可以找一個nodejs版本的
測試代碼如下
復(fù)制代碼 隱藏代碼const path = require('path');
const YTDlpWrap = require('yt-dlp-wrap').default;
const ytDlpWrap = new YTDlpWrap(path.join('./yt-dlp_x86.exe'));
let ytDlpEventEmitter = ytDlpWrap
? ? .exec([
? ?? ???'https://cdn3.OF網(wǎng)站.com/hls/files/a/a2/xxx/xxx.m3u8',
? ?? ???"-f",
? ?? ???"bestvideo[ext=mp4]+bestaudio[ext=m4a]/best[ext=mp4]/best[ext=m4a]",
? ?? ???"--allow-u",
? ?? ???"--no-part",
? ?? ???"--restrict-filenames",
? ?? ???"-N 4",
? ?? ???'--add-headers',
? ?? ???`Cookie:"個人隱私"`,
? ?? ???'-o',
? ?? ???'F:/vmware/output2.mp4',
? ? ])
? ? .on('progress', (progress) =>
? ?? ???console.log(
? ?? ?? ?? ?progress.percent,
? ?? ?? ?? ?progress.totalSize,
? ?? ?? ?? ?progress.currentSpeed,
? ?? ?? ?? ?progress.eta
? ?? ???)
? ? )
? ? .on('ytDlpEvent', (eventType, eventData) =>
? ?? ???console.log(eventType, eventData)
? ? )
? ? .on('error', (error) => console.error(error))
? ? .on('close', () => console.log('all done'));
console.log(ytDlpEventEmitter.ytDlpProcess.pid);
我也是剛接觸,不一定參數(shù)描述的正確,-f表示格式,allow-u表示允許無法格式化的視頻下載,no-part不要使用分割部分文件,restrict-filenames貌似是控制短標(biāo)題和特殊字符的,-N應(yīng)該是多線程
只有使用這套能繞過DRM的版權(quán)下載問題
下載完成后發(fā)現(xiàn)依然沒法播放
根據(jù)研究是視頻使用了加密
這個時候可以根據(jù)技術(shù)棧下手
根據(jù)搜索drm找到了 "DRM encrypted source cannot be decrypted without a DRM plugin
根據(jù)上下文找到videojs字樣
所以懷疑是videojs
于是找videojs的DRM庫,找到了
https://github.com/videojs/videojs-contrib-eme?tab=readme-ov-file#using
使用例子是
復(fù)制代碼 隱藏代碼player.eme();
player.src({
??src: '<your url here>',
??type: 'application/dash+xml',
??keySystems: {
? ? 'com.widevine.alpha': '<YOUR URL HERE>'
??}
});
在網(wǎng)頁中搜索eme,發(fā)現(xiàn)也能找到,下一個斷點(diǎn)之后調(diào)試打印src的o內(nèi)容
根據(jù)文檔getLicense()- 允許異步檢索許可證。
所以我們目前應(yīng)該主攻getLicense()函數(shù)了
其中代碼為
復(fù)制代碼 隱藏代碼? ?? ?? ?? ?? ?? ???getLicense: (e,s,o)=>{
? ?? ?? ?? ?? ?? ?? ?? ?j.vM.xhr({
? ?? ?? ?? ?? ?? ?? ?? ?? ? url: i,
? ?? ?? ?? ?? ?? ?? ?? ?? ? method: "POST",
? ?? ?? ?? ?? ?? ?? ?? ?? ? responseType: "arraybuffer",
? ?? ?? ?? ?? ?? ?? ?? ?? ? body: new Uint8Array(s),
? ?? ?? ?? ?? ?? ?? ?? ?? ? headers: {
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???"Content-type": "application/octet-stream",
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???...t
? ?? ?? ?? ?? ?? ?? ?? ?? ? },
? ?? ?? ?? ?? ?? ?? ?? ?? ? withCredentials: !0
? ?? ?? ?? ?? ?? ?? ?? ?}, ((e,i,t)=>{
? ?? ?? ?? ?? ?? ?? ?? ?? ? e ? o(e) : o(null, t)
? ?? ?? ?? ?? ?? ?? ?? ?}
? ?? ?? ?? ?? ?? ?? ?? ?))
? ?? ?? ?? ?? ?? ???}
往上一層看
這里可以看到創(chuàng)建了一個promise,當(dāng)調(diào)用獲取許可時會回調(diào)y,而y會把數(shù)據(jù)觸發(fā)調(diào)用promise的Resolve出去,導(dǎo)致普通人很容易跟丟
實(shí)際上接下來的流程處理在
其中u是MediaKeySession,讀取了我們的密鑰,而MediaKeySession的接口代表與內(nèi)容解密模塊 (CDM) 進(jìn)行消息交換的上下文。
以CDM為關(guān)鍵詞,可以搜到https://www.freebuf.com/articles/database/375523.html
復(fù)制代碼 隱藏代碼全球現(xiàn)有三大實(shí)現(xiàn)方案,分別為谷歌的Widevine、蘋果的FairPlay和微軟的PlayReady。其中Widevine實(shí)現(xiàn)簡單,免費(fèi),市場占有率最高,應(yīng)用最廣泛。Widevine客戶端主要內(nèi)置于手機(jī)、電視、各大瀏覽器、播放器等,用于解密被保護(hù)的視頻。
Widevine擁有三個安全級別——L1、L2和L3。L1是最高的安全級別,解密全過程在硬件中完成,需要設(shè)備支持。L3的安全級別最低,解密全程在CDM(Content Decryption Module )軟件中完成。L2介于兩者之間, 核心解密過程在硬件完成,視頻處理階段在軟件中完成。本文只討論L3級視頻的解密方式。
既然我們是谷歌瀏覽器,那我們大概率是Widevine的DRM保護(hù)了
那接下來的目標(biāo)就是如何解密CDM
既然已經(jīng)確定了是wvd l3
我們需要獲取解密mp4的密鑰
需要ppsh和License URL
找到的wvd代碼來自https://forum.videohelp.com/threads/414040-Need-some-help-to-download-drm-protected-video-from-this-free-service
這里我截取片段
復(fù)制代碼 隱藏代碼WVD_FILE = "device_wvd_file.wvd"
PLAYER_URL = 'https://aloula.faulio.com/api/v1/video/{video_id}/player'
ORIGIN = "https://www.aloula.sa"
def get_keys(pssh_value, license_url):
? ? if pssh_value is None:
? ?? ???return []
? ? try:
? ?? ???device = Device.load(WVD_FILE)
? ? except:
? ?? ???return []
? ? pssh_value = PSSH(pssh_value)
? ? cdm = Cdm.from_device(device)
? ? cdm_session_id = cdm.open()
? ? challenge = cdm.get_license_challenge(cdm_session_id, pssh_value)
? ? licence = requests.post(
? ?? ???license_url, data=challenge,
? ?? ???headers={"Origin": ORIGIN}
? ? )
? ? licence.raise_for_status()
? ? cdm.parse_license(cdm_session_id, licence.content)
? ? keys = []
? ? for key in cdm.get_keys(cdm_session_id):
? ?? ???if "CONTENT" in key.type:
? ?? ?? ?? ?keys += [f"{key.kid.hex}:{key.key.hex()}"]
? ? cdm.close(cdm_session_id)
? ? return keys
ppsh和licence屬于網(wǎng)站提取的內(nèi)容,那wvd是什么?
Create a Widevine Device (.wvd) file from an RSA Private Key (PEM or DER) and Client ID Blob.
wvd是Widevine Device ,是根據(jù)一個RSA私鑰和Client IDBlob生成的
其提取的方法我在
https://forum.videohelp.com/threads/404994-Decryption-and-the-Temple-of-Doom
找到了,當(dāng)然也可以使用現(xiàn)有的,但是本著蘇格拉底式學(xué)習(xí)的思想,決定嘗試手動提取WVD
另外也找到了一個疑似可以在線處理的網(wǎng)站
https://cdrm-project.com/
同時這個網(wǎng)站也提供了大量的WVD DRM分析的文章和工具
https://cdm-project.com/
注意!!!根據(jù)測試模擬器沒有WVD,不要嘗試在模擬器搞
首先需要root和安裝magisk
然后在magisk的設(shè)置的超級用戶訪問選擇用戶和ADB,重啟
然后安裝MagiskFrida
https://github.com/ViRb3/magisk-frida/releases
下載出來在magisk導(dǎo)入模塊
最好也裝上L1回退模塊
https://github.com/hzy132/liboemcryptodisabler/releases/tag/v1.5.1
全部搞定之后安裝adb,為了圖方便可以直接把a(bǔ)db的目錄塞到path里
這樣就有adb命令了
輸入adb查看有沒有手機(jī)
確定有之后拉取https://github.com/hyugogirubato/KeyDive的代碼
輸入 pip install -r requirements.txt 安裝依賴
因?yàn)閍db devices找到了
復(fù)制代碼 隱藏代碼List of devices attached
emulator-5554? ?device
輸入 python keydive.py -a -d ‘emulator-5554’ -w 即可導(dǎo)出
就是這樣,你現(xiàn)在應(yīng)該有一個以 ClientId 和 Private_key.pem 形式存在的 CDM,它們藏在 Keydive 文件夾根目錄中的設(shè)備中(因?yàn)槲冶緳C(jī)沒root,模擬器又復(fù)現(xiàn)失敗了...所以這步要靠自己了,不過應(yīng)該大差不差,因?yàn)槲褹VD提取成功了~)
因?yàn)槟M器不支持wvd DRM
所以根據(jù)https://forum.videohelp.com/threads/408031-Dumping-Your-own-L3-CDM-with-Android-Studio
嘗試andirod Studio獲取DRM
安裝pixel 6 (系統(tǒng)一定要選Pie,不然frida-server會不成功)
然后啟動
啟動成功后在Window安裝腳本 pip install frida 和 pip install frida-tools
接下來輸入 pip list 查看包版本
然后下載對應(yīng)版本的frida-server
https://github.com/frida/frida/releases
我的是16.2.5則去下 frida-server-16.2.5-android-x86.xz 然后解壓得到frida-server-16.2.5-android-x86
然后輸入
adb push C:\Users\lihengdao\Downloads\frida-server-16.2.5-android-x86 /sdcard
移動之后輸入
復(fù)制代碼 隱藏代碼adb.exe shell
su
mv /sdcard/frida-server-16.2.5-android-x86 /data/local/tmp
chmod +x /data/local/tmp/frida-server-16.2.5-android-x86
/data/local/tmp/frida-server-16.2.5-android-x86
運(yùn)行有點(diǎn)報錯很正常,直接繼續(xù)
拉取項(xiàng)目 https://github.com/wvdumper/dumper
安裝依賴 pip3 install -r requirements.txt
然后降級一下protobuf pip install protobuf==3.20.*
輸入 python .\dump_keys.py 運(yùn)行,注意運(yùn)行frida-server的窗口不要關(guān)
顯示Hook completed就成功了
接下來在Andriod Studio的Pixel模擬器訪問https://bitmovin.com/demos/drm
小提示,這里建議設(shè)置代{過}{濾}理,模擬器的回環(huán)代{過}{濾}理是10.0.2.2
將wifi的設(shè)置里proxy設(shè)置上相應(yīng)的回環(huán)地址和端口即可
如果網(wǎng)絡(luò)不好加載不出來視頻會存在bin和pem文件的!
https://developer.android.com/studio/run/emulator-networking?hl=zh-cn
視頻沒刷出來就多試試
大陸網(wǎng)有點(diǎn)卡
當(dāng)出現(xiàn)視頻進(jìn)度點(diǎn)播放
就會在dumper-main目錄里生成劫持到的文件
然后去生成的文件目錄輸入 pywidevine create-device -k private_key.pem -c client_id.bin -t "CHROME" -l 3 -o wvd
wvd驅(qū)動文件生成成功!
-官方論壇
www.52pojie.cn
*請認(rèn)真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
