?

訪問這個網站的時候，cookie 里面會有一個 sign 值，這個sign 值是通過 JavaScript 代碼生成的，JS 代碼是用?ob 混淆的，

當打開 "開發者工具" 時，會直接進入 "無限 debugger" 模式，過無限debugger 模式這里有三種方法

• 方法 1.? 直接 "從不在此處斷點"
• 方法 2.? 查看調用堆棧，把進入無限 debugger 的那個函數在console中重新定義，把函數置空
• 方法 3.? 通過中間人攻擊，替換 JavaScript 代碼文件成本地文件，在本地文件中把 無限debugger 功能去掉（ 注釋掉 ）。
  ? ? 這種方法可以進行本地斷點調試，和實時驗證逆向的代碼邏輯

這里使用?方法 3，把網站返回的混淆后的JS代碼拿下來，放到 demo.html 文件里面，并用 <script></script>? 包括，同時，把 hook cookie 的代碼和框架代碼也放里面，并放在 混淆代碼之前

hook cookie 的代碼：

(function () {'use strict';var cookie_cache = document.cookie;Object.defineProperty(document, 'cookie', {get: function () {console.log(cookie_cache);return cookie_cache;},set: function (val) {debugger;var cookie = val.split(";")[0];var ncookie = cookie.split("=");var flag = false;var cache = cookie_cache.split(";");cache = cache.map(function (a) {if (a.split("=")[0] === ncookie[0]) {flag = true;return cookie;}return a;})cookie_cache = cache.join(";");if (!flag) {cookie_cache += cookie + ";";}},}); })();

hook 框架的代碼：

• hook 和 AOP：Hooker JS：https://gitee.com/HGJing/hooker-js

?

demo.html 文件構造好后，打開 fiddler ---> AutoResponder，添加規則，

chrome 打上 script 斷點，然后訪問目標網站，即可斷下

可以看到訪問 JS 時，已經變成我們本地的 demo.html 文件了。然后去掉 script 斷點，繼續運行，會進入 無限debugger 模式，可以在本地文件中找到無限 debugger 的函數，直接注釋掉，或者刪除即可，也可以在console直接置空，更簡單的是直接 "never pause here"，這里使用?"never pause here" 然后繼續運行，等待一會會直接進入 hook cookie 的 set 函數中，查看調用堆棧，即可找到關鍵位置

關鍵 JS 代碼：_0x521302[$_0x5780('\x30\x78\x37\x38', '\x4f\x71\x6c\x44') + '\x65\x4c'](_0x30c194, _0x521302['\x48\x43\x54' + '\x65\x4c'](_0x451a25, _0x521302['\x55\x64\x79' + '\x56\x42'](_0x1af341)))

• $_0x5780('\x30\x78\x37\x38', '\x4f\x71\x6c\x44') + '\x65\x4c' 放到 console 里面執行得到?"HCTeL"
• '\x48\x43\x54' + '\x65\x4c'?放到 console 里面執行得到?"HCTeL"
• '\x55\x64\x79' + '\x56\x42'?放到 console 里面執行得到?"UdyVB"

所以關鍵代碼可以還原為：_0x521302["HCTeL"](_0x30c194, _0x521302["HCTeL"](_0x451a25, _0x521302["UdyVB"](_0x1af341)))

繼續還原?_0x1af341，在 console 中執行，可以發現 是一個函數，執行 toString() 方法，打印方法內容。

function _0x1af341(_0x250d81){return new Date()[$_0x5780('\x30\x78\x37\x65','\x64\x24\x75\x57')+$_0x5780('\x30\x78\x63\x30','\x69\x7a\x39\x37')+'\x66']();}

上面函數繼續進行還原：$_0x5780('\x30\x78\x37\x65','\x64\x24\x75\x57')+$_0x5780('\x30\x78\x63\x30','\x69\x7a\x39\x37')+'\x66' 執行后得到?"valueOf"，

所以上面方法可以還原為：function _0x1af341(_0x250d81){return new Date().valueOf();}

現在還原?_0x521302["UdyVB"] 方法：執行?_0x521302["UdyVB"].toString()

可以看到這個函數傳遞了一個參數，這個參數執行了一個函數，函數體是返回函數執行后的結果。

所以?_0x521302["HCTeL"](_0x30c194, _0x521302["HCTeL"](_0x451a25, _0x521302["UdyVB"](_0x1af341)))

可以還原為??_0x521302["HCTeL"](_0x30c194, _0x521302["HCTeL"](_0x451a25, _0x1af341()))

再進一步還原：_0x521302["HCTeL"](_0x30c194, _0x521302["HCTeL"](_0x451a25, new Date().valueOf()))? ，驗證還原結果：

按照上面方法在進一步還原：_0x30c194(_0x451a25(new Date().valueOf()))

現在只需要分析?_0x30c194、_0x451a25 ，先看下 _0x451a25 函數的 toString() ：function _0x451a25(_0x787271){return _0x521302[$_0x5780('\x30\x78\x31\x33\x65','\x52\x5a\x77\x72')+'\x66\x4d'](_0x521302[$_0x5780('\x30\x78\x34\x35','\x4b\x73\x48\x58')+'\x66\x4d'](_0x521302[$_0x5780('\x30\x78\x31\x33\x65','\x52\x5a\x77\x72')+'\x66\x4d'](_0x521302[$_0x5780('\x30\x78\x61\x31','\x29\x72\x71\x78')+'\x72\x6d'],_0x787271)+'\x7e',_0x521302[$_0x5780('\x30\x78\x31\x32','\x71\x75\x31\x47')+'\x41\x75'](_0x5b6292,_0x787271)),_0x521302[$_0x5780('\x30\x78\x66\x33','\x30\x33\x4e\x46')+'\x45\x71']);}

按上面步驟還原：

function _0x451a25(_0x787271) {return "sign=" + _0x787271 + "~" + _0x5b6292(_0x787271) + "; path=/"; }

所以整體邏輯可以變為

function _0x451a25(_0x787271) {return "sign=" + _0x787271 + "~" + _0x5b6292(_0x787271) + "; path=/"; }var timestamp = new Date().valueOf() _0x30c194(_0x451a25(timestamp))//等價于 _0x30c194("sign=" + timestamp + "~" + _0x5b6292(timestamp) + "; path=/")

****************** 關鍵邏輯部分?******************

這里只需要 分析?_0x5b6292(timestamp) 即可。

看下?_0x5b6292 的 toString()：function _0x5b6292(_0x141932){return _0x521302[$_0x5780('\x30\x78\x62\x34','\x41\x6f\x23\x33')+'\x41\x75'](_0x2e58ec,_0x141932);}?

還原后等價于：_0x2e58ec(timestamp)

再繼續分析??_0x2e58ec 。看下?_0x2e58ec 的 toString()："function _0x2e58ec(_0x2dd05e,_0x2bf8cf,_0x597aa3){return _0x2bf8cf?_0x597aa3?_0x521302[$_0x5780('\x30\x78\x62\x39','\x4b\x73\x48\x58')+'\x6c\x75'](_0x5b6292,_0x2bf8cf,_0x2dd05e):_0x521302[$_0x5780('\x30\x78\x31\x31\x30','\x43\x34\x4e\x62')+'\x44\x44'](_0x1af341,_0x2bf8cf,_0x2dd05e):_0x597aa3?_0x521302[$_0x5780('\x30\x78\x63\x32','\x69\x65\x46\x51')+'\x4d\x6d'](_0x1091df,_0x2dd05e):_0x521302['\x75\x6d\x74'+'\x4e\x65'](_0x289aa2,_0x2dd05e);}"

還原后等價于：_0x289aa2(timestamp)

繼續分析?_0x289aa2 ?？聪?_0x289aa2 的 toString()：function _0x289aa2(_0x22d83d){return _0x521302[$_0x5780('\x30\x78\x33\x37','\x5d\x57\x5a\x62')+'\x4d\x6d'](_0x554ed6,_0x1091df(_0x22d83d));}

還原后等價于：_0x554ed6(_0x1091df(timestamp))

總體邏輯等價于：_0x554ed6(_0x3f26c9(_0x161382(timestamp)))

_0x161382.toString()：function _0x161382(_0x3dad10){return unescape(_0x521302[$_0x5780('\x30\x78\x34\x62','\x52\x5a\x77\x72')+'\x4d\x6d'](encodeURIComponent,_0x3dad10));}

還原后等價于：function _0x161382(timestamp){return unescape(encodeURIComponent(timestamp));}

整體邏輯等價于：_0x554ed6(_0x3f26c9(unescape(encodeURIComponent(timestamp))))

var timestamp = new Date().valueOf() var encode_timestamp = unescape(encodeURIComponent(timestamp)) _0x554ed6(_0x3f26c9(encode_timestamp))

_0x3f26c9.toString()：function _0x3f26c9(_0x4b9199){return _0x2b5e04(_0x1cb205(_0x17d11d(_0x4b9199),_0x521302[$_0x5780('\x30\x78\x64\x39','\x5e\x74\x58\x6a')+'\x43\x73'](0x8,_0x4b9199[$_0x5780('\x30\x78\x65\x30','\x55\x74\x46\x4b')+$_0x5780('\x30\x78\x35\x30','\x39\x2a\x79\x29')])));}

還原后等價于：

?

后面就是 摳??_0x554ed6? 和?_0x3f26c9 的代碼，然后執行 js 即可得到。。。。。。

?

?

?

?

?

總結

以上是生活随笔為你收集整理的JS 逆向 --- 过无限debugge、hook、js混淆还原、控制流混淆的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。