js 逆向系列04-常见混淆原理

js混淆有两种：

•变量•代码执行流程混淆代码的执行流程一般通过控制流混淆来实现，下面主要介绍一下常见的变量混淆方式。

基本混淆方法

将值放到新的变量中，再通过 window 来取：

也可以结合 base64 编码，即（btoa，atob）

先通过 atob(ry4n3[0])，即 YWJj 的 base64decode，解码得到 abc，再用 window[abc]来获取变量 abc 的值——"test" 也可以利用 eval 方法，例如 eval("function xx(){return 12} xx()")，结合上 base64：

如果是利用 eval 进行混淆，可以直接在 eval 处下断点，跟进虚拟机即可看到明文：

js 默认支持 unicode 编码，因此可以支持生僻语言等等，AA 加密和 JJ 加密就是利用了这一点。

AA 加密

AA 加密和 JJ 加密都可以通过 sojson 网站进行。 

sojson：JS加密，JS 安全加密， AAencode 加密 —在线加密 (sojson.com)^[1]

以 console.log(1)为例，加密后的代码如图所示，执行后成功打印出 1.

JJ 加密

JJ 加密与 AA 加密类似，都是利用 js 支持 unicode 编码，并且都是通过 eval+Function 的方式进行，下面尝试对 JJ 加密进行调试。 

同样以 console.log(1)为例：

首先这里可以直接运行出值。 最后一行代码为：

sojson.$(sojson.$(sojson.$$ +"""+ sojson.$$__ + sojson._$ +"\"+ sojson.__$ + sojson.$_$ + sojson.$$_ +"\"+ sojson.__$ + sojson.$$_ + sojson._$$ + sojson._$ +(![]+"")[sojson._$_]+ sojson.$$$_ +"."+(![]+"")[sojson._$_]+ sojson._$ +"\"+ sojson.__$ + sojson.$__ + sojson.$$$ +"("+ sojson.__$ +")"+""")())(sojson ={    ___:++sojson,    $$$$:(![]+"")[sojson]});

这里执行了一个方法，肯定是在该方法运行之后，才完成了字符串的拼接以及整体代码的运行。

很明显这里是一个 Function，尝试改写 Function：

Function = function(){debugger;}这里加上一个 debugger，类似于 hook 的形式，打上断点并运行，但是没有断住。 

看看上一行代码：

sojson 是一个 object，其实也就是 OBJECT[0].constructor.constructor，执行后就是 Function:

由于是直接从原型链取的，因此无法通过改写来 debug。

可以直接改写 sojson. $ ,（注意，先在 28 行打断点，执行，断住时，改写为 sojson.$=function(){debugger;}），此时能够直接进到虚拟机里，即 sojson.$ = function(){debugger;} 通过 arguments 打印出此时的所有参数，可以看到 "return"co156163ole.lo147(1)"" 这段内容还是经过简单的加密处理的，直接通过控制台还原一下：

最终结果即为 console.log(1)

jsfuck

javascript 是一种灵活的动态语言，其允许使用多种语法结构和运算符来实现具体逻辑，并且允许进行各种类型的数据转换，jsfuck 就是利用了这些特性，结合位运算操作实现的一种加密方式。 

还是以 console.log(1)为例，同样可以直接运行，因为他没有改变代码的语法和形式等等，只是进行了混淆操作：

jsfuck 混淆之后的代码要进行调试较为麻烦，可以通过下面的代码来实现快速解密：

Function.prototype.__defineGetter__('constructor',function(){returnfunction(...args){console.log('code:',...args);returnFunction(...args);};});

这里定义了一个 getter 方法，该方法会在访问对象的 constructor 属性时被调用。在这个 getter 方法中，它重新定义了 constructor 属性，使得在访问 constructor 属性时，会执行一个自定义的函数。 

该函数会接收传入的参数即...args ，然后打印出参数 args ，最后返回一个新的 Function 对象，该对象与原始的 Function 构造函数的行为相同。 JSFuck 加密后的代码执行时，通常会创建一个 Function 对象，然后对他进行调用。通过重定义 constructor 属性，并在访问时输出参数，我们可以获取到加密后的代码内容，并且还可以将其作为参数传递给新的 Function 对象，从而执行原始代码。 

例如，对下面代码进行 jsfuck 混淆：

var test="123"console.log(test)

可以看到很多 escape 和 location，最终跳到了原始的明文代码，并且输出了结果 123.

References

[1] JS加密，JS 安全加密， AAencode 加密 —在线加密 (sojson.com): https://www.sojson.com/aaencode.html

原文始发于微信公众号（Crush Sec）：js 逆向系列04-常见混淆原理