知乎sign加密演算法徹底反混淆
原始碼來自新版知乎x-zse-86加密破解分析,在添加了jsdom之後就可以直接運行了,但這肯定不是一個很好的方法,也有很大的侷限性,因為簡單分析後,jsdom應該是主要是提供一個window屬性,而加密演算法很可能與其無關,或者可以通過另一種方式構造出來,因此嘗試對原始碼進行進一步的解析,首先貼一下原始碼以便讀者檢視
1 const jsdom = require("jsdom"); 2 const {JSDOM} = jsdom; 3 const { window } = new JSDOM('<!doctype html><html><body></body></html>');View Code4 global.window = window; 5 6 7 function t(e) { 8 return (t = "function" == typeof Symbol && "symbol" == typeof Symbol.A ? function(e) { 9 return typeof e 10 } 11 : function(e) { 12 return e && "function" == typeof Symbol && e.constructor === Symbol && e !== Symbol.prototype ? "symbol" : typeofe 13 } 14 )(e) 15 } 16 Object.defineProperty(exports, "__esModule", { 17 value: !0 18 }); 19 var A = "2.0" 20 , __g = {}; 21 function s() {} 22 function i(e) { 23 this.t = (2048 & e) >> 11, 24 this.s = (1536 & e) >> 9,25 this.i = 511 & e, 26 this.h = 511 & e 27 } 28 function h(e) { 29 this.s = (3072 & e) >> 10, 30 this.h = 1023 & e 31 } 32 function a(e) { 33 this.a = (3072 & e) >> 10, 34 this.c = (768 & e) >> 8, 35 this.n = (192 & e) >> 6, 36 this.t = 63 & e 37 } 38 function c(e) { 39 this.s = e >> 10 & 3, 40 this.i = 1023 & e 41 } 42 function n() {} 43 function e(e) { 44 this.a = (3072 & e) >> 10, 45 this.c = (768 & e) >> 8, 46 this.n = (192 & e) >> 6, 47 this.t = 63 & e 48 } 49 function o(e) { 50 this.h = (4095 & e) >> 2, 51 this.t = 3 & e 52 } 53 function r(e) { 54 this.s = e >> 10 & 3, 55 this.i = e >> 2 & 255, 56 this.t = 3 & e 57 } 58 s.prototype.e = function(e) { 59 e.o = !1 60 } 61 , 62 i.prototype.e = function(e) { 63 switch (this.t) { 64 case 0: 65 e.r[this.s] = this.i; 66 break; 67 case 1: 68 e.r[this.s] = e.k[this.h] 69 } 70 } 71 , 72 h.prototype.e = function(e) { 73 e.k[this.h] = e.r[this.s] 74 } 75 , 76 a.prototype.e = function(e) { 77 switch (this.t) { 78 case 0: 79 e.r[this.a] = e.r[this.c] + e.r[this.n]; 80 break; 81 case 1: 82 e.r[this.a] = e.r[this.c] - e.r[this.n]; 83 break; 84 case 2: 85 e.r[this.a] = e.r[this.c] * e.r[this.n]; 86 break; 87 case 3: 88 e.r[this.a] = e.r[this.c] / e.r[this.n]; 89 break; 90 case 4: 91 e.r[this.a] = e.r[this.c] % e.r[this.n]; 92 break; 93 case 5: 94 e.r[this.a] = e.r[this.c] == e.r[this.n]; 95 break; 96 case 6: 97 e.r[this.a] = e.r[this.c] >= e.r[this.n]; 98 break; 99 case 7: 100 e.r[this.a] = e.r[this.c] || e.r[this.n]; 101 break; 102 case 8: 103 e.r[this.a] = e.r[this.c] && e.r[this.n]; 104 break; 105 case 9: 106 e.r[this.a] = e.r[this.c] !== e.r[this.n]; 107 break; 108 case 10: 109 e.r[this.a] = t(e.r[this.c]); 110 break; 111 case 11: 112 e.r[this.a] = e.r[this.c]in e.r[this.n]; 113 break; 114 case 12: 115 e.r[this.a] = e.r[this.c] > e.r[this.n]; 116 break; 117 case 13: 118 e.r[this.a] = -e.r[this.c]; 119 break; 120 case 14: 121 e.r[this.a] = e.r[this.c] < e.r[this.n]; 122 break; 123 case 15: 124 e.r[this.a] = e.r[this.c] & e.r[this.n]; 125 break; 126 case 16: 127 e.r[this.a] = e.r[this.c] ^ e.r[this.n]; 128 break; 129 case 17: 130 e.r[this.a] = e.r[this.c] << e.r[this.n]; 131 break; 132 case 18: 133 e.r[this.a] = e.r[this.c] >>> e.r[this.n]; 134 break; 135 case 19: 136 e.r[this.a] = e.r[this.c] | e.r[this.n]; 137 break; 138 case 20: 139 e.r[this.a] = !e.r[this.c] 140 } 141 } 142 , 143 c.prototype.e = function(e) { 144 e.Q.push(e.C), 145 e.B.push(e.k), 146 e.C = e.r[this.s], 147 e.k = []; 148 for (var t = 0; t < this.i; t++) 149 e.k.unshift(e.f.pop()); 150 e.g.push(e.f), 151 e.f = [] 152 } 153 , 154 n.prototype.e = function(e) { 155 e.C = e.Q.pop(), 156 e.k = e.B.pop(), 157 e.f = e.g.pop() 158 } 159 , 160 e.prototype.e = function(e) { 161 switch (this.t) { 162 case 0: 163 e.u = e.r[this.a] >= e.r[this.c]; 164 break; 165 case 1: 166 e.u = e.r[this.a] <= e.r[this.c]; 167 break; 168 case 2: 169 e.u = e.r[this.a] > e.r[this.c]; 170 break; 171 case 3: 172 e.u = e.r[this.a] < e.r[this.c]; 173 break; 174 case 4: 175 e.u = e.r[this.a] == e.r[this.c]; 176 break; 177 case 5: 178 e.u = e.r[this.a] != e.r[this.c]; 179 break; 180 case 6: 181 e.u = e.r[this.a]; 182 break; 183 case 7: 184 e.u = !e.r[this.a] 185 } 186 } 187 , 188 o.prototype.e = function(e) { 189 switch (this.t) { 190 case 0: 191 e.C = this.h; 192 break; 193 case 1: 194 e.u && (e.C = this.h); 195 break; 196 case 2: 197 e.u || (e.C = this.h); 198 break; 199 case 3: 200 e.C = this.h, 201 e.w = null 202 } 203 e.u = !1 204 } 205 , 206 r.prototype.e = function(e) { 207 switch (this.t) { 208 case 0: 209 for (var t = [], n = 0; n < this.i; n++) 210 t.unshift(e.f.pop()); 211 e.r[3] = e.r[this.s](t[0], t[1]); 212 break; 213 case 1: 214 for (var r = e.f.pop(), o = [], i = 0; i < this.i; i++) 215 o.unshift(e.f.pop()); 216 e.r[3] = e.r[this.s][r](o[0], o[1]); 217 break; 218 case 2: 219 for (var a = [], s = 0; s < this.i; s++) 220 a.unshift(e.f.pop()); 221 e.r[3] = new e.r[this.s](a[0],a[1]) 222 } 223 } 224 ; 225 var k = function(e) { 226 for (var t = 66, n = [], r = 0; r < e.length; r++) { 227 var o = 24 ^ e.charCodeAt(r) ^ t; 228 n.push(String.fromCharCode(o)), 229 t = o 230 } 231 return n.join("") 232 }; 233 function Q(e) { 234 this.t = (4095 & e) >> 10, 235 this.s = (1023 & e) >> 8, 236 this.i = 1023 & e, 237 this.h = 63 & e 238 } 239 function C(e) { 240 this.t = (4095 & e) >> 10, 241 this.a = (1023 & e) >> 8, 242 this.c = (255 & e) >> 6 243 } 244 function B(e) { 245 this.s = (3072 & e) >> 10, 246 this.h = 1023 & e 247 } 248 function f(e) { 249 this.h = 4095 & e 250 } 251 function g(e) { 252 this.s = (3072 & e) >> 10 253 } 254 function u(e) { 255 this.h = 4095 & e 256 } 257 function w(e) { 258 this.t = (3840 & e) >> 8, 259 this.s = (192 & e) >> 6, 260 this.i = 63 & e 261 } 262 function G() { 263 this.r = [0, 0, 0, 0], 264 this.C = 0, 265 this.Q = [], 266 this.k = [], 267 this.B = [], 268 this.f = [], 269 this.g = [], 270 this.u = !1, 271 this.G = [], 272 this.b = [], 273 this.o = !1, 274 this.w = null, 275 this.U = null, 276 this.F = [], 277 this.R = 0, 278 this.J = { 279 0: s, 280 1: i, 281 2: h, 282 3: a, 283 4: c, 284 5: n, 285 6: e, 286 7: o, 287 8: r, 288 9: Q, 289 10: C, 290 11: B, 291 12: f, 292 13: g, 293 14: u, 294 15: w 295 } 296 } 297 Q.prototype.e = function(e) { 298 switch (this.t) { 299 case 0: 300 e.f.push(e.r[this.s]); 301 break; 302 case 1: 303 e.f.push(this.i); 304 break; 305 case 2: 306 e.f.push(e.k[this.h]); 307 break; 308 case 3: 309 e.f.push(k(e.b[this.h])) 310 } 311 } 312 , 313 C.prototype.e = function(A) { 314 switch (this.t) { 315 case 0: 316 var t = A.f.pop(); 317 A.r[this.a] = A.r[this.c][t]; 318 break; 319 case 1: 320 var s = A.f.pop() 321 , i = A.f.pop(); 322 A.r[this.c][s] = i; 323 break; 324 case 2: 325 var h = A.f.pop(); 326 A.r[this.a] = eval(h) 327 } 328 } 329 , 330 B.prototype.e = function(e) { 331 e.r[this.s] = k(e.b[this.h]) 332 } 333 , 334 f.prototype.e = function(e) { 335 e.w = this.h 336 } 337 , 338 g.prototype.e = function(e) { 339 throw e.r[this.s] 340 } 341 , 342 u.prototype.e = function(e) { 343 var t = this 344 , n = [0]; 345 e.k.forEach(function(e) { 346 n.push(e) 347 }); 348 var r = function(r) { 349 var o = new G; 350 return o.k = n, 351 o.k[0] = r, 352 o.v(e.G, t.h, e.b, e.F), 353 o.r[3] 354 }; 355 r.toString = function() { 356 return "() { [native code] }" 357 } 358 , 359 e.r[3] = r 360 } 361 , 362 w.prototype.e = function(e) { 363 switch (this.t) { 364 case 0: 365 for (var t = {}, n = 0; n < this.i; n++) { 366 var r = e.f.pop(); 367 t[e.f.pop()] = r 368 } 369 e.r[this.s] = t; 370 break; 371 case 1: 372 for (var o = [], i = 0; i < this.i; i++) 373 o.unshift(e.f.pop()); 374 e.r[this.s] = o 375 } 376 } 377 , 378 G.prototype.D = function(e) { 379 for (var t = new Buffer(e,"base64").toString("binary"), n = t.charCodeAt(0) << 8 | t.charCodeAt(1), r = [], o = 2; o < n + 2; o += 2) 380 r.push(t.charCodeAt(o) << 8 | t.charCodeAt(o + 1)); 381 this.G = r; 382 for (var i = [], a = n + 2; a < t.length; ) { 383 var s = t.charCodeAt(a) << 8 | t.charCodeAt(a + 1) 384 , c = t.slice(a + 2, a + 2 + s); 385 i.push(c), 386 a += s + 2 387 } 388 this.b = i 389 } 390 , 391 G.prototype.v = function(e, t, n) { 392 for (t = t || 0, 393 n = n || [], 394 this.C = t, 395 "string" == typeof e ? this.D(e) : (this.G = e, 396 this.b = n), 397 this.o = !0, 398 this.R = Date.now(); this.o; ) { 399 var r = this.G[this.C++]; 400 if ("number" != typeof r) 401 break; 402 var o = Date.now(); 403 if (500 < o - this.R) 404 return; 405 this.R = o; 406 try { 407 this.e(r) 408 } catch (e) { 409 this.U = e, 410 this.w && (this.C = this.w) 411 } 412 } 413 } 414 , 415 G.prototype.e = function(e) { 416 var t = (61440 & e) >> 12; 417 new this.J[t](e).e(this) 418 } 419 , 420 "undefined" != typeof window && (new G).v("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"); 421 var b = function(e) { 422 console.log(encodeURIComponent(e)); 423 return __g._encrypt(encodeURIComponent(e)); 424 }; 425 426 exports.ENCRYPT_VERSION = A, 427 exports.default = b; 428 429
隨著技術的發展,各種各樣的稀奇古怪的混淆層出不窮,堪稱卷積雲,筆者的想要了解一下混淆的細節,並儘可能地將原始碼變成人話,並讓更多人瞭解混淆的常見方法,於是撰寫了本文,如有錯誤,歡迎指出和討論,謝謝
如讀者也嘗試執行以下的每一步更改,強烈建議每修改一部分就執行一次程式碼以確認是否能正常執行
將結尾處的逗號改為分號,補全所有需要的分號和其他符號,調整換行,使程式碼符合正確的語法規則和語法建議,如
改為
通覽全文,發現存在三大類主要符號
第一類為函式,例如【function i()】中的【i】,為了便於區分,筆者將所有函式重新命名為【Func_i】的格式,可以在【function G()】中的【this.J】找到大部分的函式,這時候,需要手動替換所有函式!!!不能借助IDE的替換功能替換,因為IDE替換會導致變數也被替換了,也就是說IDE會識別錯誤,因此這步替換對後面的分析有很大的幫助,能更清晰地看懂關係,第一次肯定是替換不全的,執行程式然後通過報錯再逐個修改
替換完會得到如下圖所示效果
第二類為區域性變數,如圖中的【e】、【t】、【s】、【i】和【h】,這些變數暫時不需要去變動,因為已經能和函式區分開了,不過因為原型的字母也是e,因此將形參e改為data,如下圖所示
第三類為原型prototype,這段程式碼中所有的prototype的命名都是e,如果使用IDE,原型e的顏色和區域性變數e的顏色是不同的,因為只有一個固定的字母,注意即可,不需變動,那麼肯定有人會問,原型是什麼啊,文末給出的連結中很清晰地說明了原型的意義和用法,不過簡單來說,可以將function理解為class,那麼原型就是方法,如果用python來實現,就如下圖所示,效果完全相同
既然沒有區別,那麼就將原型都放入函式中方便理解,同時在除錯中不會反覆跳躍(因為程式碼中是分散開的),調整後如下圖所示
這時,看下程式碼建議,會發現程式碼中使用了大量的var,建議改為let區域性變數,這個修改對理解變數的作用範圍也很有幫助,在替換的同時,很多地方可以做改進,讀者可以自行判斷後修改,比如
上圖中的【var t】、【var o】和【var a】的作用是完全相同的,因此可以提出來並重命名,如下所示
替換完,還有少部分的程式碼提示,比如將【==】更改為【===】,將【!=】更改為【!==】,同時,有一些簡單的混淆也可以替換一下,比如【!0】改為【true】、【!1】改為【false】,這時,再回顧一下程式碼,會發現有個函式叫【k】
這個函式的寫法和其他的不一樣,但是,效果是一樣的,那麼,也調整過來
然後還有個函式叫【t】,初看很複雜,分析後發現,只要【"function" == typeof Symbol】不成立,整個函式就返回【false】,當然等式應該是成立的,不過作為嘗試,直接將函式改為下圖所示
居然一切正常,這就非常有意思了,減少了一大段程式碼,不過沒有進一步分析,讀者有興趣可以嘗試進一步分析一下
此時還有一些未被引用的變數,去除掉即可,比如【Func_e】中的【this.n】和【Func_G】中的【this.R】
此時程式碼建議已經很少了,說明混淆度已經比較低了,分析起來就比較容易了,重頭戲這時才開始
首先,除錯程式遇到的第一個問題,入口在哪裡,在簡單地分析和打斷點之後發現,入口在【Func_u】中的【r】處,但是,如何直接呼叫這個函式卻不觸發外層函式,筆者水平有限,暫無法解釋,不過,在到達入口的時候,程式已經完成了一次初始化,即【(new G).v()】處,裡面有非常長的一個字串,這個就是初始化用的資料,在反覆請求網頁後發現,這是一個定值,那麼,就打斷點逐步分析
在【v】函式裡面,又用了和前面相同的方式即用【for】初始化變數,同時,讀者可能會注意到一個很有意思的地方,js的傳引數量對不上了,【v】僅有一個引數,怎麼對應【(e, t, n)】呢,實參和形參中,以數量少的一方為準,多的就被捨棄,空缺的就是undefined,因此,初始化的時候回進到【D】函式,之後計算則將 【e、t、n】 賦值給 【this.G、this.c、this.b】,其中有一個【this.R】記錄了當前時間,如果在500ms內沒有到計算完,則會直接結束計算,因此直接去掉即可,而【this.o】為true,放在for的第二個引數位,即意味著while(true),替換即可,這時因為還需要初始化,所以設定了一個字串【start!】
之後就進到了【D】函式,第一行就base64轉換、二進位制轉換、移位操作、Unicode碼轉換,然後獲得了【Func_G.G】,之後又獲得了【Func_G.b】,原來就是一個初始化操作,那直接打斷點提取出兩個的值然後寫定即可,省去了不少計算量,如下圖所示
那麼肯定會疑惑,這些數有意義還是隻是純粹的隨機數,打完斷點就知道了,不過就不賣關子了,【G】應該是隨機數或者說是無意義數,應該是先設定好函式執行順序,然後用移位反推出一個合適的資料寫入,執行的時候移位出結果然後在【J】中呼叫,【b】就是生成了很多函式或者說變數名,在【Func_k】處打斷點可以看到,其中包括【_encrypt】,這也是第二遍的入口,這個在原始碼中如何都找不到的函式,至於是如何加入並執行的,筆者才疏學淺,就無法深究了,不過應該和【Func_u】中的【native code】有一定關係,不過好的是,後面都能去掉
分析完初始化,就進入到正在的計算流程了,即上文提到的【while(true)】,提到【while】,那必定有結束訊號,即判斷【r】是否越界,筆者嘗試直接用for遍歷,但發現是不行的,因為在計算過程中,【C】的值會變動,因此還是隻能用【while】,然後就是將【r】代入原型【e】通過【J】選取一個函式並計算,這時會有一個try,觀察可發現catch後的內容不影響結果,直接刪除,同時【Func_g】中有throw,也可以去掉,最終得到下圖的結果
上文提到了【native code】和入口【Func_u.r】,於是嘗試對這一部分打斷點分析一下,上文提到過是直接跳轉到r函式的,那麼前面這一段是否意味著不需要呢
刪掉後一切正常,有意思,然後注意到這一段
return有好幾個值,用quokka測試後發現,這種寫法等價於執行前幾個逗號分隔中的程式碼,然後返回最後一項,同時,【o.v】的形參只有三項,那麼可以直接去掉【data.F】,然後就是【toString】,抱著去掉試試的想法刪掉了,一切正常,那就更有意思了,不過全部去掉之後的【data】就是【e】的形參了,【o.k = n, o.k[0] = r】,通過斷點可以知道就是【o.k = [r]】,而這時的r是無法傳進來的,因此在【e】的後面增加一個形參【val】,然後程式碼就變成了下圖所示
這時還缺少的就是val的初始值,在修改前打斷點可得知,是7,於是直接寫死,得到
全部修改完了,這時還需要jsdom嗎,當然,不需要了啊(笑),刪掉就好了
跑起來,會發現,emmmmm多了個字尾【_XUX】,應該是一個機制,不過不是很重要了,直接替換掉即可,有興趣的讀者可以自行研究一下
至此,程式已經變得非常通俗易懂了,也不存在晦澀的混淆程式碼了,筆者儘量不跳步驟地解釋了格式化的步驟,不過文章是程式碼完成後寫的,所以可能有部分地方順序存在問題,讀者需要自行思考下
筆者嘗試將程式碼遷移到python,以嘗試完全理解加密演算法的細節,但是遷移完成後發現原始碼使用了大量的js特性,python實現難度非常大,需要自己實現很多底層操作,於是咕咕咕,比如,向陣列中新增元素的時候,js可以直接向任意越界的位置新增,空缺的位置自動用undefined填充
如有讀者有興趣,可以嘗試遷移和修改,所有程式碼均在github上開源,此程式碼僅供學習和研究使用,請勿用於其他用途或對他人造成困擾,非常感謝!
感謝: 新版知乎x-zse-86加密破解分析
https://blog.csdn.net/weixin_40352715/article/details/107546166
JS 中 __proto__ 和 prototype 存在的意義是什麼? https://www.zhihu.com/question/56770432
你可以不會 class,但是一定要學會 prototype
https://zhuanlan.zhihu.com/p/35279244