首页 > 其他分享 >JS反调试绕过&JS代码混淆&JSFUCK编码

JS反调试绕过&JS代码混淆&JSFUCK编码

时间:2023-10-24 17:25:31浏览次数:50  
标签:混淆 加密 代码 JavaScript JSFUCK JS 调试

JS反调试绕过&JS代码混淆&JSFUCK编码

如果目标网站的JS代码中有比较机密的东西,会启用反调试,代码混淆这些功能防止泄露机密数据。下面说说几种绕过目标网站JS反调试功能的方法。

-禁用断点

点击下图那个禁用断点的按钮即可

禁止断点过后,大多数情况下可以绕过对方的反调试,但是自己也无法断点分析了

1698112810581

-条件断点

image可以输入一个恒成立,或者不成立的条件在这。就不会出现打开开发者工具暂停运行的情况了。比如直接输入false。如果还有暂停的情况,那可能是在目标网站上还存在一个会导致反调试功能,找出它,如上处理即可。

-永不在此处暂停

image

1698130925915

-置空函数

函数置空:原来的用来反调试的函数,在控制台上面重写一遍,写废掉就没有反调试的能力了,比如下面这个样例
反调试函数=function(){
return NULL;
}

-本地覆盖

本地覆盖:在源代码选项卡里的覆盖选项里,启用本地替代,右键目标网站上的关键代码保存本地备用,我们就可以对关键代码编辑了你可以在这里面删除或者注释掉反调试的代码块。完成之后,当网站再加载此文件时,会以我们本地的那个文件为准也就是我们编辑过的那个js文件为准,则覆盖了原网站的原文件。具体做法如下图:

1698131667289

然后对目标网站的负责反调试功能的JS文件右键 选择 替代内容 ​就会出现在替代文件夹里了,就可以编辑了

​​image​​​1698132297270​​​

代码混淆

JavaScript代码混淆就是一种将可读性高的JavaScript代码转换成难以理解和分析的形式的过程。它通过一系列的转换和技巧来使代码变得晦涩难懂,从而增加了代码的安全性,使得别人难以轻易地理解和修改你的代码。
混淆的目的通常是为了保护知识产权或者防止恶意使用者逆向工程你的代码。这样做可以使得他们难以窃取你的算法或者在你不授权的情况下使用你的代码。
虽然混淆可以提高代码的安全性,但并不是绝对安全的。有经验的黑客或者逆向工程师可能会花费一些时间来还原混淆后的代码,但混淆过后的代码可以增加他们的工作难度。

开源代码加密:

JSON在线 | JSON解析格式化—SO JSON在线工具

商业用途加密:

JS加密,JS不可逆加密,JS混淆,JS混淆加密,JS压缩加密 - [JavaScript加密] (jsjiami.com)

简单说说一个点:

1698133027334​​1698133152277

需要在本地控制台调试,不能在网上平台上调试,很有可能不允许。自己随便起一个本地网页调试即可 用phpstudy啥的(不懂去搜一下怎么用,一键发布一个网页)

以上这种由"!"符号和 "[" "]" 等组成的编码技术叫做JSFUCK编码:

"JSFuck" 是一种基于JavaScript的编码技术,它允许你将JavaScript代码编码成仅使用六种字符:[ ] ( ) ! +​。尽管编码后的JSFuck代码看起来是一堆无序的字符,但它仍然是合法的JavaScript代码,因为它是在JavaScript的语法规则下构建的。这是因为JSFuck利用了JavaScript中的类型转换、数学运算和逻辑运算,将这六个字符组合成各种JavaScript表达式。这也是为什么JSFuck代码通常非常难以阅读,因为它将JavaScript的特性推向了极限,使得它在形式上变得非常混乱,但它仍然是合法的JavaScript代码。

我把原加密后的代码小括号里的东西删除后只剩一个空括号,再去控制台打印,任然可以成功执行;如下图:

1698133397692

1698133509534

我把最后一个空的小括号删除后,直接爆出这段JS源码;如下图:

1698133517131

为什么去除了部分编码后任然可以继续执行呢?:

大概就是说删除的那部分就是些花指令,一些无关紧要的东西

花指令的概念和作用:

"花指令" 这个术语通常是与计算机汇编语言和程序逆向工程相关的术语,它不是一个官方的计算机科学术语,而是黑客和逆向工程师社区中常用的俚语。它通常指的是那些在程序中看起来没有实际作用,或者在正常操作下不会被执行的指令或代码片段。这些指令可能被插入到程序中,以混淆或防止逆向工程。
"花指令" 的作用可以有以下几个:

  1. 1.混淆代码:将花指令插入到程序中,使得逆向工程师难以理解代码的实际逻辑,因为他们需要分辨哪些指令是无关紧要的。
  2. 防止自动化工具:某些逆向工程工具和自动化脚本可能会试图分析程序的结构,花指令可以干扰这些工具,使其分析变得更加复杂。
  3. 增加逆向工程难度:通过引入无用的指令,逆向工程师需要更多的时间和精力来分析程序,从而提高了逆向工程的难度。
  4. 误导攻击者:花指令可以误导恶意攻击者,使他们花费时间在无关紧要的指令上,而不是攻击程序的实际漏洞或关键逻辑。

一般情况下,加密后的JavaScript代码可能具有以下特征:

  1. 难以阅读和理解:加密会使代码变得晦涩难懂,通过删除空格、缩进、注释以及重命名变量和函数名,使代码更加难以理解。
  2. 代码压缩:加密通常伴随着代码压缩,以减小文件大小,从而加快加载时间。这可能导致一些变量名和函数名变得更加晦涩。
  3. 混淆技巧:混淆技巧包括将常见的代码结构转换为复杂的等效形式,如将条件语句重写成难以理解的形式、使用逻辑运算符等。这增加了代码的复杂性。
  4. 加密算法:某些代码加密工具可能使用加密算法对源代码进行编码,需要在运行时解码才能执行。这可以提高安全性,但也增加了代码的复杂性。
  5. 自解码功能:一些加密技术包括自解码功能,这意味着加密的代码包含解码自身的逻辑。这样,解密后的代码可以在运行时还原成可执行的JavaScript。
  6. 特定标识符:某些加密工具可能在代码中留下特定的标识符,用于识别该代码是经过加密的。
  7. 举一个加密的例子
  8.  // 加密前的代码
     function displaySecretMessage() {
         alert("This is a secret message!");
     }
    
     displaySecretMessage();
    
     // ROT13加密
     function obqlfgYrpbeqZrffntr() {
         nyreg("Guvf vf n frperg zrffntr!");
     }
    
     obqlfgYrpbeqZrffntr();
    
    

这段加密的JavaScript代码的特点是:

  1. 函数和变量名经过了ROT13加密,变得晦涩难懂,不容易理解。
  2. 警告消息也经过ROT13加密,以避免直接查看代码就能理解消息内容。
  3. 当你运行加密后的代码时,它会解密函数名和消息,然后正常执行。

这只是一个简单的演示,实际上,加密代码通常会更复杂,使用更强大的加密算法,以确保代码的安全性。然而,这个示例说明了加密可以用于隐藏JavaScript代码的特性和逻辑,使其更难以理解

感谢观看~

标签:混淆,加密,代码,JavaScript,JSFUCK,JS,调试
From: https://www.cnblogs.com/xrzxyyds/p/js-anti-tuning-trial-z1k42vn.html

相关文章

  • pjsip内存优化及提升视频呼叫并发数
      工作上的一个上层调度台应用(Windows7),业务功能上有并发调取多个视频的需求,发现调取30左右路D1视频后会导致崩溃,日志提示:except.c !!!FATAL:unhandledexceptionPJLIB/Nomemory!,内存不足,在开发环境下验证发现内存占用已经达到2G以上(32位程序默认最高给2G内存,通过配置能......
  • list集合,dataTable 转json null转空字符串,时间格式
    usingNewtonsoft.Json;usingSystem;usingSystem.Collections.Generic;usingSystem.Data;usingSystem.Linq;usingSystem.Text;usingSystem.Threading.Tasks;namespaceUtils{publicclassNewtonsoftHelper{publicstaticstringToJson<......
  • three.js 深度不完全解读
    three.js深度不完全解读一、深度值的获取1、方法1:FBO的深度附件深度信息通过渲染管线中的深度缓冲区(depthbuffer)来计算和存储。缓冲区用于存储每个像素点的深度值。在渲染过程中,渲染器会根据每个像素点的深度值来确定最终像素的可见性和着色。consttarget=newTHREE.W......
  • js实现在报表参数界面获取body中控件的值
     要在报表参数界面获取body中控件的值,你可以使用JavaScript来实现。下面是一个详细的介绍:1.DOM(文档对象模型):  -DOM是用于操作HTML文档的API,它允许你通过JavaScript访问和操作文档中的元素。  -在报表参数界面,你可以使用DOM来获取页面上的控件元素。2.获取控件元......
  • js实现关闭子窗口时刷新父窗口
     当我们在子窗口中关闭窗口时,可以使用JavaScript来刷新父窗口。下面是一个详细的介绍:1.获取父窗口对象:  -在子窗口中,可以使用`window.parent`属性获取父窗口的全局对象。  -通过`window.parent`,我们可以访问父窗口的各种属性和方法。2.关闭子窗口:  -在子窗......
  • 使用三方摄像头,实现pjsip的视频通话功能
    提要:近期一直在做视频通话功能,主要基于pjsip来实现的,将这些过程记录下来,可能对做同类型工作的同学有所帮助!实现思路,参考pjsip原来设备采集视频、编码并rtp组包发送的思路,再在原有流程中做修改!主要关键点:1、摄像头采集完成后已经是已编码的H264/H265的流,不需要再开启pjsip的编......
  • C#对没有规律的json字符串转化为对象序列化并遍历读取
    varjsonString={"BillDate":1,"TypeName":0,"StepNum":0,"CollectCode":0,"Uncollected":1,"Tax":0,"AbstractInfo":1}现在我们要对这它进行转化并遍历读取:///<summary>///把json字符串转化为对象//......
  • Jquery向json对象添加键值对,读取键值对,删除键值对
    添加键值对varlabelName={};labelName["Name"]="James"labelName["Sex"]="1"结果:labelName={"Name":"James","Sex":1};读取键值对vargetData={"Label":"Dong","Sex":&quo......
  • jquery对复杂的集合型Json数据进行筛选(象C#的find一样)
    比如如下js下的json数据:varlist=[{"ColName":"OrderDate","ColLabel":"日期","ColNewLabel":"日期","IsChecked":1,"Sort":"0"},{"ColName":"OrderCode","ColLa......
  • C#序列化和反序列化JSON的两种方法(转载)(三)
    C#有两种方式序列化和反序列化JSON字符串:第一种是System.Web.Script.Serialization下的JavaScriptSerializer,原生自带的这种方法需要与类绑定,不方便。第二种是Json.NET第三方库方法,既可以与对象绑定,也可以反序列化为更通用的JObject,方便易用,推荐。一:  JavaScript......