ob混淆AST

ob混淆的特征

大数组+位移函数+解密函数,多个位置多次调用解密函数。
picture 1

写AST

picture 2
自执行函数如果带参数的都会有个加载器,我们看看兄弟节点有啥用吧。
picture 3
这些setCookie这类的只是为某个obj的属性。只需观察这些函数里面有没有啥实参。

picture 4

对这个自执行的函数来说,全局的变量只有这么两个_0x1032, 0x1a7,就围绕这两个看看。
picture 5
这两个实参到这个函数里是_0x263f33,_0x270f13.

JS的函数的参数是啥传递。
picture 7

也就是说,如果不通过属性来修改对象的值,那都不影响实参!!!

我们来看看这个函数里有哪里用到了实参。

picture 1

只有这一处使用到了实参,数组实参只有加载器用到。

步进看看该函数是干啥的。
picture 2
执行的函数是加载器,加载器的作用也只是为了执行参数而已。也就是说,其实整段代码其实也就只有++那段有用。

picture 3
也就是这段。只需把函数名改为加载器的函数名,参数改为形参的参数名即可。

我们可以手动删掉,也可以通过AST来删。这里我们来用AST。

接下来我们来分析一下解密函数。
picture 4
我们看到用到_0x270f13只有一处。
再看rc4这函数是啥。
picture 5

保留了以上提到的,后面这里===undefine处,仅仅只需保留
picture 6
该处即可。

控制流平坦化

picture 7
像这种通过switch和while来混淆代码的执行顺序,既是控制流平坦化,这类的代码比较麻烦,不过可以看看极验那块的代码,那块的控制流平坦化比ob混淆的要好些,这个相对简单,直接附上代码。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
const decode_while = {
    WhileStatement(path) {
        let {test, body} = path.node;
        let swithchNode = body.body[0];
        if (!types.isUnaryExpression(test) || !types.isSwitchStatement(swithchNode)) return;
        let {discriminant, cases} = swithchNode;
        if (!types.isMemberExpression(discriminant) || !types.isUpdateExpression(discriminant.property)) return;
        let arrayName = discriminant.object.name;
        let per_bro_node = path.getAllPrevSiblings();
        let array = []
        per_bro_node.forEach(per_node => {
            const {declarations} = per_node.node;
            let {id, init} = declarations[0];
            if (arrayName === id.name) {
                array = init.callee.object.value.split('|');
            }
            per_node.remove();
        });

        let replace_body = [];
        array.forEach(index => {
                let case_body = cases[index].consequent;
                if (types.isContinueStatement(case_body[case_body.length - 1])) {
                    case_body.pop();
                }
            replace_body = replace_body.concat(case_body);
            }
        );
        path.replaceInline(replace_body);
    }
}

traverse(ast, decode_while);

完整代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
/***********************************************************
 ob混淆这类的特征是大数组加位移函数加解密函数
 ***********************************************************/


const parser = require("@babel/parser");
const traverse = require("@babel/traverse").default;
const types = require("@babel/types");
const generator = require("@babel/generator").default;
const fs = require('fs');
decode_file = 'D:\\huangsheng\\self\\js_workspace\\node_workspace\\js_parse\\bitstamp\\js\\result.js'
var jscode = fs.readFileSync('D:\\huangsheng\\self\\js_workspace\\node_workspace\\js_parse\\bitstamp\\js\\source.js', "utf-8", function (err, data) {
    if (err) {
        console.log(err);
    } else {
        code = data.toString();
    }
});
let ast = parser.parse(jscode)

/***********************************************************
 NumericLiteral ---> Literal
 StringLiteral  ---> Literal
 用于处理已十六进制显示的字符串或者数值
 ***********************************************************/
const delete_extra =
    {
        "NumericLiteral|StringLiteral": function (path) {
            delete path.node.extra;
        },
    }

traverse(ast, delete_extra);

// 删除加载器下的多余的节点
const decode_str = {
    VariableDeclarator(path) {
        let {id, init} = path.node;
        if (!types.isArrayExpression(init) || init.elements.length == 0) return;
        let code = path.toString();

        let second_sibling = path.parentPath.getNextSibling(); //获取移位函数节点
        let third_sibling = second_sibling.getNextSibling();   //获取解密函数节点

        // 开始检测特征
        if (!types.isExpressionStatement(second_sibling) || !types.isVariableDeclaration(third_sibling)) return;
        let expression = second_sibling.get('expression');
        if (!expression.isCallExpression()) return;

        let {callee, arguments} = expression.node;
        if (arguments.length !== 2 ||
            !types.isFunctionExpression(callee) ||
            !types.isIdentifier(arguments[0], {name: id.name}) ||
            !types.isNumericLiteral(arguments[1])
        ) return;

        let {declarations} = third_sibling.node;

        if (!declarations ||
            declarations.length !== 1 ||
            !types.isFunctionExpression(declarations[0].init)
        ) return;

        // 检测结束
        let sourceSecond = second_sibling.toString()
        let thirdFuncName = third_sibling.node.declarations[0].id.name;
        // 开始处理移位函数
        if (sourceSecond.indexOf('removeCookie') !== -1) {
            let second_arg_node = callee.params[1];
            let body = callee.body.body;
            let call_fun = body[0].declarations[0].id;  //解密函数的函数名,用于遍历其作用域
            body.pop();
            body.pop();
            body.push(types.ExpressionStatement(types.UpdateExpression("++", second_arg_node)));
            body.push(types.ExpressionStatement(types.callExpression(call_fun, [second_arg_node])));

            // 位移函数处理结束

            // 处理解密函数开始
            let end = third_sibling.node.end; //防止遍历函数体里的调用
            third_sibling.traverse({
                AssignmentExpression(path_) {
                    let left = path_.get('left');
                    let leftCode = left.toString()
                    let right = path_.get('right');
                    let rightCode = right.toString();
                    if (rightCode.indexOf(thirdFuncName) === -1 || rightCode.indexOf(leftCode) === -1) return;
                    let ifParantNode = path_.findParent(g => {
                        return g.isIfStatement();
                    });
                    ifParantNode && ifParantNode.replaceWith(path_.node);
                }
            });
            code += ';!' + second_sibling.toString() + third_sibling.toString();
            //eval到本地环境
            eval(code);

            const binding = third_sibling.scope.getBinding(thirdFuncName);
            if (!binding || binding.constantViolations.length > 0) return;

            let can_removed = true;
            for (const temp of binding.referencePaths) {
                // 为了处理调用解密函数处,修改为常量,故不能调用到解密函数中
                if (temp.node.start < end) {
                    continue;
                }
                let callPath = temp.findParent(p => {
                    return p.isCallExpression();
                });
                try {
                    let fun_value = eval(callPath.toString());
                    console.log('del with fun:', callPath.toString(), '  is value:', fun_value);
                    callPath && callPath.replaceWith(types.valueToNode(fun_value));
                } catch (e) {
                    can_removed = false;
                }
            }
            if (can_removed) {
                path.parentPath.remove();
                second_sibling.remove();
                third_sibling.remove();
            }
        }
    }
}

traverse(ast, decode_str);

// 处理BinaryExpression
const decode_binary = {
    BinaryExpression(path) {
        const {confident, value} = path.evaluate();
        if (Infinity === value) return;
        confident && path.replaceWith(types.valueToNode(value));
    }
}

traverse(ast, decode_binary);

// 处理控制流平坦化
const decode_while = {
    WhileStatement(path) {
        let {test, body} = path.node;
        let swithchNode = body.body[0];
        if (!types.isUnaryExpression(test) || !types.isSwitchStatement(swithchNode)) return;
        let {discriminant, cases} = swithchNode;
        if (!types.isMemberExpression(discriminant) || !types.isUpdateExpression(discriminant.property)) return;
        let arrayName = discriminant.object.name;
        let per_bro_node = path.getAllPrevSiblings();
        let array = []
        per_bro_node.forEach(per_node => {
            const {declarations} = per_node.node;
            let {id, init} = declarations[0];
            if (arrayName === id.name) {
                array = init.callee.object.value.split('|');
            }
            per_node.remove();
        });

        let replace_body = [];
        array.forEach(index => {
                let case_body = cases[index].consequent;
                if (types.isContinueStatement(case_body[case_body.length - 1])) {
                    case_body.pop();
                }
            replace_body = replace_body.concat(case_body);
            }
        );
        path.replaceInline(replace_body);
    }
}

traverse(ast, decode_while);

/************************************
 处理完毕,生成新代码
 *************************************/
let {code} = generator(ast);
fs.writeFile(decode_file, code, (err) => {
});

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一只从Java到爬虫未来将会到安全的软件工程师。