)
最近网站大更了一次,代码和结构都变了,某聘的混淆还是挺复杂的,不解硬补的话非常头疼,有很多检测点都发现不了。
但是本人AST技术有限,只能做到把三元表达式,函数定义,三重Switch转一重,也是边写边学了。
三元表达式和去除函数定义就不说了,具体流程就看 某直聘逆向之AST处理加密代码
解混淆之后如图:
本文主要讲三重Switch转一重的具体流程:
第一个大控制流,有三层,最后一层有Switch和ifelse两种表达形式(如上图):
第二个控制流:
第二个控制流有四层。
我的逻辑是:
1.先准备好反推控制流的函数,分上面一个的和下面一个控制流的,上面那个文章也写了的,如:
function calculateP1(qbl, Ybl, $bl) { // 检查参数是否在 0-31 范围内(5位二进制最大值) if (qbl< 0 || qbl > 31) throw new Error('qbl must be between 0 and 31'); //第一层 if (Ybl < 0 || Ybl > 31) throw new Error('Ybl must be between 0 and 31');//第er层 if ($bl < 0 || $bl > 31) throw new Error('$bl must be between 0 and 31');//第san层 return ($bl << 10) | (Ybl << 5) | qbl; } function calculateP2(rp, np, ip, sp) { return (sp << 6) | (ip << 4) | (np << 2) | rp; }2.我是直接遍历的For循环,因为代码里面也不多,随后只全部替换下面的大Switch,到第三层就能需要判断是Switch还是IFelse了。
3.随后就是判断:
if (t.isSwitchStatement(IfStatement_or_SwitchStatement)){ //是否是Switch //循环IfStatement_or_SwitchStatement然后这里push出只有三层的部分 ... if (third_caseNode.consequent[0].type!=='VariableDeclaration'){ 判断是第一个大控制流的 }else{ //这里是走第二个控制流的,是四层, //循环然后push出四层的 } }else{ let search_result=SearchIfStatement(IfStatement_or_SwitchStatement) }4.把数组转换成Switch(在每个ForStatement内部替换):
5.然后导出js
最终效果就是:
)
