AST反混淆实战:obfuscator解混淆四步走

第一步 处理CallExpression

下图是某个被obfuscator工具混淆了的代码部分截图:

这里有很多的 CallExpression，诸如:

   

    

     

      

     
     

      

       _0x552e53('3$kU', 0x1ab, 0x153, 0x261)
      
     
    

     

      

     
     

      

       _0x3be775('vrJS', 0x2cb, 0x307, 0x228)
      
     
    

     

      

     
     

      

       _0x3be775('mbUX', 0x432, 0x36d, 0x379)
      
     
    

     

      

     
     

      

       .......
      
     
   
  

它们有一个共同的特点，就是实参全部是 字面量，对于实参已知的函数来说，其结果大部分都是固定的，因此只需要将其值计算出来，并替换掉这些CallExpression，会使代码清晰一点。

下图是我还原后的部分代码截图:

相比第一个图，明显要好看很多。

第二步 处理ObjectExpression

从上面的截图可以看出，这里的 _0x499a89 是一个object，它里面的key、value都很有规律，key的长度都是5，value只有两种类型:

StringLiteral 和 FunctionExpression，Literal类型的节点自不必说，可以直接进行替换，而 FunctionExpression 也是非常的简单，种类也比较少，构造起来也非常的容易。

替换前:

替换后:

可以看出，明显要清晰很多。

第三步 去控制流

经过第二步处理后，可以看到很多这样的代码:

这是一个while循环，它是由

   

    

     

      

     
     

      

       var _0x1432cf = "1|2|3|0|4"["split"]('|'),
      
     
    

     

      

     
     

      

     
   
  

来控制顺序的，因为都是字面量，每个代码段的顺序是固定的，所以也可以直接进行处理。下图是处理过后的代码:

明显，要比之前的代码顺眼很多。

第四步 删除deadCode

上面截图中，有很多类似这种结构的代码:

   

    

     

      

     
     

      

       if(true)
      
     
    

     

      

     
     

      

       {
      
     
    

     

      

     
     

      

       .....
      
     
    

     

      

     
     

      

       }
      
     
    

     

      

     
     

      

       else
      
     
    

     

      

     
     

      

       {
      
     
    

     

      

     
     

      

       ......
      
     
    

     

      

     
     

      

       }
      
     
   
  

可以看到if语句里面的判断为true，因此它只会执行if语句里面的代码，而else里面的代码是不可能执行的，这样的代码就叫 DeadCode，不会执行的代码，直接删除就好。

删除deadCode之后，代码更加的简洁明了。

注意，每一步都环环相扣，前一步过不了，后一步就没法执行。它的套路就是这样，其实处理起来也很简单。你，学废了吗？