专栏首页Python爬虫与算法进阶JS逆向常见混淆总结

JS逆向常见混淆总结

一直想写一篇关于混淆的总结,篇幅比较短但都是在摸索过程中的总结,先占坑,有新的内容会再补充。

eval加密

把一段字符串当做js代码去执行

1eval(function(){alert(100);return 200})()

例子: 漫画柜,空中网 之后会单独写一篇漫画柜的解密。

变量名混淆

  1. 把变量名、函数名、参数名等,替换成没有语义,看着又很像的名字。
1_0x21dd83、_0x21dd84、_0x21dd85
  1. 用十六进制文本去表示一个字符串
1\x56\x49\x12\x23
  1. 利用JS能识别的编码来做混淆 JS是Unicode编码,本身就能识别这种编码。类似的一些变量名,函数名都可以用这个表示,并且调用。
 1类似:
 2
 3\u6210\u529f表示中文字符(成功)。
 4
 5类似:
 6
 7\u0053\u0074\u0072\u0069\u006e\u0067.\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072\u0043\u006f\u0064\u0065就代表String.fromCharCode
 8
 9类似:
10
11('')['\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72']['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65'];效果等同于String.fromCharCode
  1. 把一大堆方法名、字符串等存到数组中,这个数组可以是上千个成员。然后调用的时候,取数组成员去用
1var arr = ["Date","getTime"];
2var time = new window[arr[0]]()[arr[1]]();
3console.log(time);
  1. 字符串加密后发送到前端,然后前端调用对应的函数去解密,得到明文
1var arr = ['xxxx']
2
3// 定义的解密函数
4function dec(str){
5  return 'push'
6}
7test[dec(arr[0])](200);

控制流平坦化

将顺序执行的代码混淆成乱序执行,并加以混淆

以下两段代码的执行结果是相同的:

 1// 正常形态
 2function test(a){
 3  var b = a;
 4  b += 1;
 5  b += 2;
 6  b += 3;
 7  b += 4;
 8  return a + b
 9}
10
11// 乱序形态
12//(这里比较简单,在很多加密网站上case 后面往往不是数字或字符串,而是类似 YFp[15][45][4]这样的对象,相当恶心)
13function test1(a){
14  var arr = [1,2,3,4,5,6]
15  for(var i = 0, i < arr.lenght, i++){
16    switch (arr[i]) {
17      case 4:
18        b += 3;
19        break;
20      case 2:
21        b += 1;
22      break;
23      case 1:
24        var b = a;
25      break;
26      case 3:
27        b += 2;
28      break;
29      case 6:
30        return a + b
31      case 5:
32        b += 4;
33      break;
34    }
35  }
36}
37// 结果都是30 但是test1看着费劲
38console.log(test1(10));
39console.log(test(10));
压缩代码

把多行代码压缩成一行

 1function test(a){
 2  var b = a;
 3  var c = b + 1;
 4  var d = b + 2;
 5  var e = b + 3;
 6  var f = b + 4;
 7  return e + f
 8}
 9
10// 压缩一下
11function test1(a){
12  var b,c,d,e,f
13  return f = (e = (d = ( c = (b = a,b + 1),b + 2),b + 3),b + 4),e + f
14}

本文分享自微信公众号 - Python爬虫与算法进阶(zhangslob)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 反反爬虫系列(一)

    笔者决定写一个系列反反爬虫,目的是站在生产角度如何绕过各类网站的反爬虫,提供反反爬虫思路。

    小歪
  • Python分布式微博爬虫(源码分享)

    项目地址:https://github.com/ResolveWang/weibospider 作者:resolvewang ? 关于本项目 实现内容包括用户信...

    小歪
  • GitHub上超9Kstars的Python爬虫项目——pyspider(国人编写)

    A Powerful Spider(Web Crawler) System in Python 简介 PySpider:一个国人编写的强大的网络爬虫系统并带有强...

    小歪
  • JS逆向常见混淆总结

    咸鱼学Python
  • JS逆向常见混淆总结

    龙哥
  • 数组或对象中的内容间隔显示

    总结:间隔显示,不要使用for 循环,原因是for循环是同步,setTimeout是异步,同步执行完再执行异步。

    tianyawhl
  • Framework7源码学习-1-概览

    https://raw.githubusercontent.com/qq286735628/Framework7/master/dist/js/framewor...

    libo1106
  • Mock.js测试代码及Ajax拦截案例讲解

    在做程序开发的时候,我们经常会用到一些测试数据,相信大多数同学是这么来造测试数据的:

    石璞东
  • 我们请来了2017 NIPS大会发文数全球前3的华人教授,讲解网络数据的表征学习(视频+PPT)

    大数据文摘
  • 美图-北京商业部 - 测试工程师实习生面经

    牛客网

扫码关注云+社区

领取腾讯云代金券