(编辑:jimmy 日期: 2024/12/22 浏览:2)
@TOC
首先就是上一章提到的,指令的顺序是会变的
假设某序号为1的指令为【I[I.length - 2] = I[I.length - 2] + I.pop();】
这个指令可能在下一次请求的时候,序号变成了2或者3,也可能序号不变。但是标识符由I变成了Q或者其他,例如变成了【Q[Q.length - 2] = Q[Q.length - 2] + Q.pop();】
在这种情况下,不能使用与之前某乎一样的利用序号的方式来识别指令动作,需要想办法把可变的东西转换成固定的东西,我这里使用的是转换成自己的一套助记符,部分如下
那么每次在处理反汇编前,把原生的js代码使用ast提取出一个助记符表和指令码,那么这就可以使用一套代码来反汇编了。
主要难点是
1.处理条件分支和循环分支
2.处理子函数定义、形参、临时变量、闭包参数
某讯的混淆器还是比较强的,他还支持某些语法
3.处理try catch语句和throw语句
4.处理for in语句
根据上一篇中反汇编的结果,很容易发现vm的源代码是一个webpack打包的,因为其完全符合webpack的特征。
初始化的时候加载了【0】函数,那么继续往下看
效果还是非常好的,逻辑很清晰,在全局TDC上绑定一个对象,并且在这个对象绑定四个函数,分别为【getInfo,setData,clearTc,getData】,其中还导入了【3】模块的函数,这个后面再看
eks参数实际就是在getInfo函数的返回值的info参数,先看这个简单的
可以看到返回值就是window上的值,其实这个值就在js代码里面返回的,如下图
因为这一段每次请求都是一段随机值,所以图片中的值可能会变来变去的,但是不影响逻辑分析。
在函数返回前,还执行了一个【mInit】函数,从名字看来是一个初始化函数,那么先看看【3】模块都有些什么
可以看到mGetData绑定的是【6208】函数。另外的,mSet是【4932】,mClear是【5086】,mInit是【5187】,接下来看看init都做了些什么
但这样看其实看不出什么,后来调试才知道,这是在处理模块【7】的,这是一段环境数组在开始工作
模块【7】导入了相当多的模块,这里的每一个模块,都是一个环境检测点,检测的东西可以说也是非常多的
这是init初始化的后半部分,如果模块有导出on函数,那么就执行这个函数,这里其实是为了后面的getData做准备,那么接着看看getData。
首先调用的【_0x6208_8】函数是模块【59】的【setErrorStack】函数,看函数名可以预测到会存在堆栈环境监测
接着【_0x6208_12】就是核心的区环境和加密的函数了,绑定的是【4332】
这里就是循环那个很多导入模块的数组,依次执行里面的【get】函数,把得到的环境参数进行拼接和加密。
后面再分析几个检测函数,以及看看对数据是如何进行加密的