AST反混淆实战:obfuscator解混淆四步走

举报
悦来客栈的老板 发表于 2020/12/28 22:51:16 2020/12/28
【摘要】 第一步 处理CallExpression 下图是某个被obfuscator工具混淆了的代码部分截图: 这里有很多的 CallExpression,诸如: _0x552e53('3$kU', 0x1ab, 0x153, 0x261)_0x3be775('vrJS', 0x2cb, 0x307, 0x228)_0x3be775('mbUX', 0x432, 0x3...

第一步 处理CallExpression

下图是某个被obfuscator工具混淆了的代码部分截图:

这里有很多的 CallExpression,诸如:


   
  1. _0x552e53('3$kU', 0x1ab, 0x153, 0x261)
  2. _0x3be775('vrJS', 0x2cb, 0x307, 0x228)
  3. _0x3be775('mbUX', 0x432, 0x36d, 0x379)
  4. .......

它们有一个共同的特点,就是实参全部是 字面量,对于实参已知的函数来说,其结果大部分都是固定的,因此只需要将其值计算出来,并替换掉这些CallExpression,会使代码清晰一点。

下图是我还原后的部分代码截图:

相比第一个图,明显要好看很多。

第二步 处理ObjectExpression

从上面的截图可以看出,这里的 _0x499a89 是一个object,它里面的key、value都很有规律,key的长度都是5,value只有两种类型:

StringLiteral 和 FunctionExpression,Literal类型的节点自不必说,可以直接进行替换,而 FunctionExpression 也是非常的简单,种类也比较少,构造起来也非常的容易。

替换前:

替换后:

可以看出,明显要清晰很多。

第三步 去控制流

经过第二步处理后,可以看到很多这样的代码:

这是一个while循环,它是由


   
  1. var _0x1432cf = "1|2|3|0|4"["split"]('|'),

来控制顺序的,因为都是字面量,每个代码段的顺序是固定的,所以也可以直接进行处理。下图是处理过后的代码:

明显,要比之前的代码顺眼很多。

第四步 删除deadCode

上面截图中,有很多类似这种结构的代码:


   
  1. if(true)
  2. {
  3. .....
  4. }
  5. else
  6. {
  7. ......
  8. }

可以看到if语句里面的判断为true,因此它只会执行if语句里面的代码,而else里面的代码是不可能执行的,这样的代码就叫 DeadCode,不会执行的代码,直接删除就好。

删除deadCode之后,代码更加的简洁明了。

注意,每一步都环环相扣,前一步过不了,后一步就没法执行。它的套路就是这样,其实处理起来也很简单。你,学废了吗?

文章来源: blog.csdn.net,作者:悦来客栈的老板,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/qq523176585/article/details/111056127

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。