AST反混淆实战:obfuscator解混淆四步走
第一步 处理CallExpression
下图是某个被obfuscator工具混淆了的代码部分截图:
这里有很多的 CallExpression,诸如:
-
_0x552e53('3$kU', 0x1ab, 0x153, 0x261)
-
_0x3be775('vrJS', 0x2cb, 0x307, 0x228)
-
_0x3be775('mbUX', 0x432, 0x36d, 0x379)
-
.......
它们有一个共同的特点,就是实参全部是 字面量,对于实参已知的函数来说,其结果大部分都是固定的,因此只需要将其值计算出来,并替换掉这些CallExpression,会使代码清晰一点。
下图是我还原后的部分代码截图:
相比第一个图,明显要好看很多。
第二步 处理ObjectExpression
从上面的截图可以看出,这里的 _0x499a89 是一个object,它里面的key、value都很有规律,key的长度都是5,value只有两种类型:
StringLiteral 和 FunctionExpression,Literal类型的节点自不必说,可以直接进行替换,而 FunctionExpression 也是非常的简单,种类也比较少,构造起来也非常的容易。
替换前:
替换后:
可以看出,明显要清晰很多。
第三步 去控制流
经过第二步处理后,可以看到很多这样的代码:
这是一个while循环,它是由
-
var _0x1432cf = "1|2|3|0|4"["split"]('|'),
-
来控制顺序的,因为都是字面量,每个代码段的顺序是固定的,所以也可以直接进行处理。下图是处理过后的代码:
明显,要比之前的代码顺眼很多。
第四步 删除deadCode
上面截图中,有很多类似这种结构的代码:
-
if(true)
-
{
-
.....
-
}
-
else
-
{
-
......
-
}
可以看到if语句里面的判断为true,因此它只会执行if语句里面的代码,而else里面的代码是不可能执行的,这样的代码就叫 DeadCode,不会执行的代码,直接删除就好。
删除deadCode之后,代码更加的简洁明了。
注意,每一步都环环相扣,前一步过不了,后一步就没法执行。它的套路就是这样,其实处理起来也很简单。你,学废了吗?
文章来源: blog.csdn.net,作者:悦来客栈的老板,版权归原作者所有,如需转载,请联系作者。
原文链接:blog.csdn.net/qq523176585/article/details/111056127
- 点赞
- 收藏
- 关注作者
评论(0)