python逆向_常见混淆

eval加密

把一段字符串当做js代码去执行

1
1eval(function(){alert(100);return 200})()

例子: 漫画柜,空中网 之后会单独写一篇漫画柜的解密。

变量名混淆

  1. 把变量名、函数名、参数名等,替换成没有语义,看着又很像的名字。
1
_0x21dd83、_0x21dd84、_0x21dd85

​ 2.用十六进制文本去表示一个字符串

1
\x56\x49\x12\x23

​ 3.利用JS能识别的编码来做混淆
JS是Unicode编码,本身就能识别这种编码。类似的一些变量名,函数名都可以用这个表示,并且调用。

1
2
3
4
5
6
7
8
9
10
11
 类似:
 
 \u6210\u529f表示中文字符(成功)。
 
 类似:
 
 \u0053\u0074\u0072\u0069\u006e\u0067.\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072\u0043\u006f\u0064\u0065就代表String.fromCharCode
 
 类似:

('')['\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72']['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65'];效果等同于String.fromCharCode

​ 4.把一大堆方法名、字符串等存到数组中,这个数组可以是上千个成员。然后调用的时候,取数组成员去用

1
2
3
var arr = ["Date","getTime"];
var time = new window[arr[0]]()[arr[1]]();
console.log(time);

​ 5.字符串加密后发送到前端,然后前端调用对应的函数去解密,得到明文

1
2
3
4
5
6
7
var arr = ['xxxx']

// 定义的解密函数
function dec(str){
  return 'push'
}
test[dec(arr[0])](200);

控制流平坦化

将顺序执行的代码混淆成乱序执行,并加以混淆

以下两段代码的执行结果是相同的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
 // 正常形态
function test(a){
   var b = a;
   b += 1;
   b += 2;
   b += 3;
   b += 4;
   return a + b
 }

// 乱序形态
//(这里比较简单,在很多加密网站上case 后面往往不是数字或字符串,而是类似 YFp[15][45][4]这样的对象,相当恶心)
function test1(a){
  var arr = [1,2,3,4,5,6]
  for(var i = 0, i < arr.lenght, i++){
    switch (arr[i]) {
     case 4:
        b += 3;
        break;
      case 2:
        b += 1;
      break;
      case 1:
        var b = a;
      break;
      case 3:
        b += 2;
      break;
      case 6:
        return a + b
      case 5:
        b += 4;
      break;
    }
  }
}
// 结果都是30 但是test1看着费劲
console.log(test1(10));
console.log(test(10));

压缩代码

把多行代码压缩成一行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
function test(a){
   var b = a;
   var c = b + 1;
   var d = b + 2;
   var e = b + 3;
   var f = b + 4;
   return e + f
 }
 
// 压缩一下
function test1(a){
  var b,c,d,e,f
  return f = (e = (d = ( c = (b = a,b + 1),b + 2),b + 3),b + 4),e + f
}