电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

PopUnder 研究:Javascript逆向與反逆向

瀏覽:2日期:2023-11-12 08:55:42
緣起

最近在研究 PopUnder 的實現方案,通過 Google 搜索 js popunder 出來的第一頁中有個網站 popunderjs.com ,當時看了下,這是個提供 popunder 解決方案的一家公司,而且再翻了幾頁,發現市面上能解決這個問題的,只有2家公司,可見這個市場基本是屬于壟斷型的。

popunderjs 原來在 github 上是有開源代碼的,但后來估計作者發現這個需求巨大的商業價值,索性不開源了,直接收費。所以現在要研究它的實現方案,只能上官網扒它源碼了。

這是它的示例頁: http://code.ptcong.com/demos/bjp/demo.html 分別加載了幾個重要文件:

http://code.ptcong.com/demos/bjp/script.js?0.3687041198903791http://code.ptcong.com/demos/bjp/license.demo.js?0.31109710863616447 文件結構

script.js 是功能主體,實現了 popunder 的所有功能以及定義了多個 API 方法

license.demo.js 是授權文件,有這個文件你才能順利調用 script.js 里的方法

防止被逆向

這么具有商業價值的代碼,就這么公開地給你們用,肯定要考慮好被逆向的問題。我們來看看它是怎么反逆向的。

首先,打開控制臺,發現2個問題:

控制臺所有內容都被反復清空,只輸出了這么一句話: Console was cleared script.js?0.5309098417125133:1 無法斷點調試,因為一旦啟用斷點調試功能,就會被定向到一個匿名函數 (function() {debugger})

也就是說,常用的斷點調試方法已經無法使用了,我們只能看看源代碼,看能不能理解它的邏輯了。但是,它源代碼是這樣的:

var a = typeof window === S[0] && typeof window[S[1]] !== S[2] ? window : global; try {a[S[3]](S[4]);return function() {}; } catch (a) {try { (function() {} [S[11]](S[12])()); return function() {} ;} catch (a) { if (/TypeError/[S[15]](a + S[16])) {return function() {}; }} }

可見源代碼是根本不可能閱讀的,所以還是得想辦法破掉它的反逆向措施。

利用工具巧妙破解反逆向

首先在斷點調試模式一步步查看它都執行了哪些操作,突然就發現了這么一段代碼:

(function() { (function a() {try { (function b(i) {if ((’’ + (i / i)).length !== 1 || i % 20 === 0) { (function() {} ).constructor(’debugger’)();} else { debugger ;}b(++i); } )(0);} catch (e) { setTimeout(a, 5000);} } )()})();

這段代碼主要有2部分,一是通過 try {} 塊內的 b() 函數來判斷是否打開了控制臺,如果是的話就進行自我調用,反復進入 debugger 這個斷點,從而達到干擾我們調試的目的。如果沒有打開控制臺,那調用 debugger 就會拋出異常,這時就在 catch {} 塊內設置定時器,5秒后再調用一下 b() 函數。

這么說來其實一切的一切都始于 setTimeout 這個函數(因為 b() 函數全是閉包調用,無法從外界破掉),所以只要在 setTimeout 被調用的時候,不讓它執行就可以破解掉這個死循環了。

所以我們只需要簡單地覆蓋掉 setTimeout 就可以了……比如:

window._setTimeout = window.setTimeout;window.setTimeout = function () {};

但是!這個操作無法在控制臺里面做!因為當你打開控制臺的時候,你就必然會被吸入到 b() 函數的死循環中。這時再來覆蓋 setTimeout 已經沒有意義了。

這時我們的工具 TamperMonkey 就上場了,把代碼寫到 TM 的腳本里,就算不打開控制臺也能執行了。

TM 腳本寫好之后,刷新頁面,等它完全加載完,再打開控制臺,這時 debugger 已經不會再出現了!

接下來就輪到控制臺刷新代碼了

通過 Console was cleared 右側的鏈接點進去定位到具體的代碼,點擊 {} 美化一下被壓縮過的代碼,發現其實就是用 setInterval 反復調用 console.clear() 清空控制臺并輸出了 <div>Console was cleared</div> 信息,但是注意了,不能直接覆蓋 setInterval 因為這個函數在其他地方也有重要的用途。

所以我們可以通過覆蓋 console.clear() 函數和過濾 log 信息來阻止它的清屏行為。

同樣寫入到 TamperMonkey 的腳本中,代碼:

window.console.clear = function() {};window.console._log = window.console.log;window.console.log = function (e) { if (e[’nodeName’] && e[’nodeName’] == ’DIV’) {return ; } return window.console.error.apply(window.console._log, arguments);};

之所以用 error 來輸出信息,是為了查看它的調用棧,對理解程序邏輯有幫助。

基本上,做完這些的工作之后,這段代碼就可以跟普通程序一樣正常調試了。但還有個問題,它主要代碼是經?;煜用艿?,所以調試起來很有難度。下面簡單講講過程。

混淆加密方法一:隱藏方法調用,降低可讀性

從 license.demo.js 可以看到開頭有一段代碼是這樣的:

var zBCa = function T(f) { for (var U = 0, V = 0, W, X, Y = (X = decodeURI('+TR4W%17%7F@%17.....省略若干'), W = ’’, ’D68Q4cYfvoqAveD2D8Kb0jTsQCf2uvgs’); U < X.length; U++, V++) {if (V === Y.length) { V = 0;}W += String['fromCharCode'](X['charCodeAt'](U) ^ Y['charCodeAt'](V)); } var S = W.split('&&');

通過跟蹤執行,可以發現 S 變量的內容其實是本程序所有要用到的類名、函數名的集合,類似于 var S = [’console’, ’clear’, ’console’, ’log’] 。如果要調用 console.clear() 和 console.log() 函數的話,就這樣

var a = window;a[S[0]][S[1]]();a[S[2]][S[3]](); 混淆加密方法二:將函數定義加入到證書驗證流程

license.demo.js 中有多處這樣的代碼:

a[’RegExp’](’/R[S]{4}p.cwn[D]{5}twr/’,’g’)[’test’](T + ’’)

這里的 a 代表 window,T 代表某個函數, T + ’’ 的作用是把 T 函數的定義轉成字符串,所以這段代碼的意思其實是,驗證 T 函數的定義中是否包含某些字符。

每次成功的驗證,都會返回一個特定的值,這些個特定的值就是解密核心證書的參數。

可能是因為我重新整理了代碼格式,所以在重新運行的時候,這個證書一直運行不成功,所以后來就放棄了通過證書來突破的方案。

逆向思路:輸出所有函數調用和參數

通過斷點調試,我們可以發現,想一步一步深入地搞清楚這整個程序的邏輯,是十分困難,因為它大部分函數之間都是相互調用的關系,只是參數的不同,結果就不同。

所以我后來想了個辦法,就是只查看它的系統函數的調用,通過對調用順序的研究,也可以大致知道它執行了哪些操作。

要想輸出所有系統函數的調用,需要解決以下問題:

覆蓋所有內置變量及類的函數,我們既要覆蓋 window.console.clear() 這樣的依附在實例上的函數,也要覆蓋依附在類定義上的函數,如 window.HTMLAnchorElement.__proto__.click() 需要正確區分內置函數和自定義函數

經過搜索后,找到了區分內置函數的代碼:

// Used to resolve the internal `[[Class]]` of values var toString = Object.prototype.toString; // Used to resolve the decompiled source of functions var fnToString = Function.prototype.toString; // Used to detect host constructors (Safari > 4; really typed array specific) var reHostCtor = /^[object .+?Constructor]$/; // Compile a regexp using a common native method as a template. // We chose `Object#toString` because there’s a good chance it is not being mucked with. var reNative = RegExp(’^’ + // Coerce `Object#toString` to a string String(toString) // Escape any special regexp characters .replace(/[.*+?^${}()|[]/]/g, ’$&’) // Replace mentions of `toString` with `.*?` to keep the template generic. // Replace thing like `for ...` to support environments like Rhino which add extra info // such as method arity. .replace(/toString|(function).*?(?=()| for .+?(?=])/g, ’$1.*?’) + ’$’ ); function isNative(value) { var type = typeof value; return type == ’function’ // Use `Function#toString` to bypass the value’s own `toString` method // and avoid being faked out. ? reNative.test(fnToString.call(value)) // Fallback to a host object check because some environments will represent // things like typed arrays as DOM methods which may not conform to the // normal native pattern. : (value && type == ’object’ && reHostCtor.test(toString.call(value))) || false; }

然后結合網上的資料,寫出了遞歸覆蓋內置函數的代碼:

function wrapit(e) { if (e.__proto__) {wrapit(e.__proto__); } for (var a in e) {try { e[a];} catch (e) { // pass continue;}var prop = e[a];if (!prop || prop._w) continue;prop = e[a];if (typeof prop == ’function’ && isNative(prop)) { e[a] = (function (name, func) {return function () { var args = [].splice.call(arguments,0); // convert arguments to array if (false && name == ’getElementsByTagName’ && args[0] == ’iframe’) { } else {console.error((new Date).toISOString(), [this], name, args); } if (name == ’querySelectorAll’) {//alert(’querySelectorAll’); } return func.apply(this, args);}; })(a, prop); e[a]._w = true;}; }}

使用的時候只需要:

wrapit(window);wrapit(document);

然后模擬一下正常的操作,觸發 PopUnder 就可以看到它的調用過程了。

參考資料:

A Beginners’ Guide to Obfuscation Detect if function is native to browser Detect if a Function is Native Code with JavaScript

來自:http://www.jianshu.com/p/9148d215c119

標簽: JavaScript
相關文章:
主站蜘蛛池模板: 重庆小面培训_重庆小面技术培训学习班哪家好【终身免费复学】 | 防火阀、排烟防火阀、电动防火阀产品生产销售商-德州凯亿空调设备有限公司 | 无水硫酸铝,硫酸铝厂家-淄博双赢新材料科技有限公司 | 外贮压-柜式-悬挂式-七氟丙烷-灭火器-灭火系统-药剂-价格-厂家-IG541-混合气体-贮压-非贮压-超细干粉-自动-灭火装置-气体灭火设备-探火管灭火厂家-东莞汇建消防科技有限公司 | 北京签证代办_签证办理_商务签证_旅游签证_寰球签证网 | 导电银胶_LED封装导电银胶_半导体封装导电胶厂家-上海腾烁 | 卡诺亚轻高定官网_卧室系统_整家定制_定制家居_高端定制_全屋定制加盟_定制家具加盟_定制衣柜加盟 | 视频教程导航网_视频教程之家_视频教程大全_最新视频教程分享发布平台 | 紫外荧光硫分析仪-硫含量分析仪-红外光度测定仪-泰州美旭仪器 | 带锯机|木工带锯机圆木推台锯|跑车带锯机|河北茂业机械制造有限公司| | 东莞市超赞电子科技有限公司 全系列直插/贴片铝电解电容,电解电容,电容器 | HYDAC过滤器,HYDAC滤芯,现货ATOS油泵,ATOS比例阀-东莞市广联自动化科技有限公司 | ★济南领跃标识制作公司★济南标识制作,标牌制作,山东标识制作,济南标牌厂 | 压砖机_电动螺旋压力机_粉末成型压力机_郑州华隆机械tel_0371-60121717 | 大通天成企业资质代办_承装修试电力设施许可证_增值电信业务经营许可证_无人机运营合格证_广播电视节目制作许可证 | 合肥白癜风医院_[治疗白癜风]哪家好_合肥北大白癜风医院 | 涡轮流量计_LWGY智能气体液体电池供电计量表-金湖凯铭仪表有限公司 | 意大利Frascold/富士豪压缩机_富士豪半封闭压缩机_富士豪活塞压缩机_富士豪螺杆压缩机 | 山东彩钢板房,山东彩钢活动房,临沂彩钢房-临沂市贵通钢结构工程有限公司 | 招商帮-一站式网络营销服务|互联网整合营销|网络推广代运营|信息流推广|招商帮企业招商好帮手|搜索营销推广|短视视频营销推广 | 蜘蛛车-高空作业平台-升降机-高空作业车租赁-臂式伸缩臂叉装车-登高车出租厂家 - 普雷斯特机械设备(北京)有限公司 | 粒米特测控技术(上海)有限公司-测功机_减速机测试台_电机测试台 | 塑胶地板-商用PVC地板-pvc地板革-安耐宝pvc塑胶地板厂家 | 杰福伦_磁致伸缩位移传感器_线性位移传感器-意大利GEFRAN杰福伦-河南赉威液压科技有限公司 | 周易算网-八字测算网 - 周易算网-宝宝起名取名测名字周易八字测算网 | 无菌实验室规划装修设计-一体化实验室承包-北京洁净净化工程建设施工-北京航天科恩实验室装备工程技术有限公司 | SMC-ASCO-CKD气缸-FESTO-MAC电磁阀-上海天筹自动化设备官网 | 气动球阀_衬氟蝶阀_调节阀_电动截止阀_上海沃托阀门有限公司 | 钢格板_钢格栅_格栅板_钢格栅板 - 安平县鑫拓钢格栅板厂家 | 「安徽双凯」自动售货机-无人售货机-成人用品-自动饮料食品零食售货机 | 酶联免疫分析仪-多管旋涡混合仪|混合器-莱普特科学仪器(北京)有限公司 | 招商帮-一站式网络营销服务|搜索营销推广|信息流推广|短视视频营销推广|互联网整合营销|网络推广代运营|招商帮企业招商好帮手 | 耙式干燥机_真空耙式干燥机厂家-无锡鹏茂化工装备有限公司 | 蜘蛛车-高空作业平台-升降机-高空作业车租赁-臂式伸缩臂叉装车-登高车出租厂家 - 普雷斯特机械设备(北京)有限公司 | 西安文都考研官网_西安考研辅导班_考研培训机构_西安在职考研培训 | 北京自然绿环境科技发展有限公司专业生产【洗车机_加油站洗车机-全自动洗车机】 | 上海风淋室_上海风淋室厂家_上海风淋室价格_上海伯淋 | 闪蒸干燥机-喷雾干燥机-带式干燥机-桨叶干燥机-[常州佳一干燥设备] | 气弹簧定制-气动杆-可控气弹簧-不锈钢阻尼器-工业气弹簧-可调节气弹簧厂家-常州巨腾气弹簧供应商 | 插针变压器-家用电器变压器-工业空调变压器-CD型电抗器-余姚市中驰电器有限公司 | 超声波清洗机-超声波清洗设备定制生产厂家 - 深圳市冠博科技实业有限公司 |