在 web 开发的早期旅程中,您学到的最有趣的事情之一是如何通过简单地从开发人员工具页面复制源代码来复制网站。许多开发人员发现这很有帮助,但构建这些网站的开发人员和网站所有者的情况并非如此。
这些网站所有者通常对其客户端(html、css 和 javascript)代码被盗感到恐惧和焦虑。这让他们只有一个选择:寻找解决方案来阻止未经授权的复制或滥用其源代码。
满足这些网站所有者需求的一个解决方案是一种称为 javascript 混淆的技术。简单来说,javascript 混淆是将人类可读的 javascript 代码转换为人类难以理解的复杂格式的行为。
正如硬币有两面,javascript 混淆 也有其对应的 javascript 反混淆。从它的名字就可以看出,这是一种与 javascript 混淆相反的行为,从而将已经混淆的 javascript 代码转换为人类可读的格式。
注意:在大多数情况下,javascript 反混淆不会将混淆后的代码恢复为原始形式,尽管有时您会得到原始形式。可以肯定地说,javascript 反混淆并不是向您承诺原始的 javascript 代码,而是您可以阅读和理解的代码。
立即学习“Java免费学习笔记(深入)”;
javascript反混淆与混淆实战讲解
通过练习我们可以学得更好,所以让我们探索本指南介绍部分中所有理论解释的实践方面。
要测试这些技术,您需要 javascript 代码。话虽如此,让我们创建一个简单的 javascript 代码,定义一个变量并根据 for 循环运行的次数输出一个字符串。
const no_loop_cycle = 5
for (let i = 0; i < no_loop_cycle; i++) {
console.log("string ", i)
}
现在您已经有了用于测试的 javascript 代码,请使用 javascript obfuscator tool,这是一个用于混淆 javascript 代码的免费工具。
将示例 javascript 代码粘贴到工具中,然后单击“混淆”按钮。
以下是您将得到的输出:
function _0xb78f(_0x2224cc,_0x217706){const _0x44095f=_0x4409();return _0xb78f=function(_0xb78f5c,_0x2ff516){_0xb78f5c=_0xb78f5c-0xd3;let _0x60ee28=_0x44095f[_0xb78f5c];return _0x60ee28;},_0xb78f(_0x2224cc,_0x217706);}const _0x5f75f2=_0xb78f;(function(_0x2c5162,_0x14873c){const _0x4e4ef7=_0xb78f,_0x5a8a62=_0x2c5162();while(!![]){try{const _0x1b7f08=parseint(_0x4e4ef7(0xdb))/0x1*(-parseint(_0x4e4ef7(0xdc))/0x2)+parseint(_0x4e4ef7(0xdd))/0x3+-parseint(_0x4e4ef7(0xd9))/0x4*(parseint(_0x4e4ef7(0xd4))/0x5)+-parseint(_0x4e4ef7(0xde))/0x6+parseint(_0x4e4ef7(0xd6))/0x7*(-parseint(_0x4e4ef7(0xd3))/0x8)+parseint(_0x4e4ef7(0xd5))/0x9+parseint(_0x4e4ef7(0xd7))/0xa;if(_0x1b7f08===_0x14873c)break;else _0x5a8a62['push'](_0x5a8a62['shift']());}catch(_0x153236){_0x5a8a62['push'](_0x5a8a62['shift']());}}}(_0x4409,0x71eba));const no_loop_cycle=0x5;for(let i=0x0;i<no_loop_cycle;i++){console[_0x5f75f2(0xda)](_0x5f75f2(0xd8),i);}function _0x4409(){const _0x5189f4=['2031897ohimen','15423690uovacr','string\x20','1326068tystta','log','1cerzvm','245842qinqek','1819539wuqmjb','4133556arqvkn','16zafmnl','10ozrkck','3358431pzhaxs'];_0x4409=function(){return _0x5189f4;};return _0x4409();}
将此混淆的代码粘贴到代码编辑器中并运行它以验证其准确性。您会看到它提供与原始代码相同的输出。
既然您已经了解了 javascript 混淆的实际情况,那么尝试 javascript 反混淆也会同样令人愉快。复制上面的混淆代码并将其粘贴到这个免费的反混淆工具中。
使用该反混淆器工具将为您提供以下代码:
for (let i = 0x0; i < 0x5; i++) {
console.log("String ", i);
}
反混淆后返回的代码与原始 javascript 代码类似,但略有不同。这证实了您通常不会获得实际的 javascript 代码,而是获得您可以理解的可读格式的代码。
为什么 javascript 反混淆很重要?
大多数网站严重依赖嵌入技术来阻止未经授权的用户,主要是在 javascript 代码中,因为它负责基本的用户交互(大多数需要您与网站交互的事情都是使用 javascript 实现的)。
这些技术主要是 javascript 混淆,这就是 javascript 反混淆发挥作用的地方。它有助于解决此类情况,尤其是在网页抓取时。
javascript 反混淆有助于使代码更具可读性,使您能够更好地理解脚本、模拟交互并正确抓取预期数据。
javascript 混淆甚至带来了更多的反抓取机制,例如反机器人证券、cloudflare 等候室和一系列验证码谜题。尽管存在这些挑战,javascript 反混淆仍然能够成功,因为它有助于绕过和逆向工程这些挑战。
javascript 反混淆是如何工作的
javascript 反混淆需要以下过程:
- 识别 javascript 混淆:要识别它,您需要识别一些模式,例如变量重命名、控制流缩小、十六进制值、编码字符串等。当你继续研究它时,你会发现更多模式。
- 访问混淆代码:现在您已经发现了混淆代码,下一步是使用 chrome 的开发者工具访问代码以进行更好的分析。您还可以在找到文件后保存该文件。
- 格式化代码:prettier 或 javascript 美化器等工具可以格式化混淆的代码。
- 执行代码来验证是否没有错误。
- 最后,提取功能逻辑(隐藏内容生成或令牌验证的代码)。
javascript 反混淆解决方案
javascript 反混淆的完美解决方案是您解决问题的技能、识别混淆代码中模式的能力以及技术工具的使用的结合。
如果您拥有用于格式化代码的必要工具、用于访问和分析混淆代码的 chrome devtools、用于解析和缩小代码的外部第三方库(如 uglify-js)以及调试工具,那么您可以看穿任何 javascript 混淆实例.
要快速跟踪事情,您可以使用任何 javascript 反混淆器工具或本指南中使用的工具。
