JS逆向之瀏覽器補環境詳解

“補瀏覽器環境”是JS逆向者升職加薪的必備技能，也是工作中不可避免的操作。

為了讓大家徹底搞懂 “補瀏覽器環境”的緣由及原理，本文將從以下四個部分進行描述：

1. 什麼是補環境？
2. 為什麼要補環境？
3. 怎麼補環境？
4. 補環境實戰
5. 補環境框架成品原始碼

一：什麼是 “補瀏覽器環境”？

瀏覽器環境： 是指 JS程式碼在瀏覽器中的執行時環境，它包括V8自動構建的物件（即ECMAScript的內容,如Date、Array），瀏覽器（內建）傳遞給V8的操作DOM和BOM的物件（如document、navigator）；
Node環境：是基於V8引擎的Js執行時環境，它包括V8與其自己的內建API，如fs，http，path；

Node環境 與 瀏覽器環境 的異同點可以簡單概括如圖：

所以我們所說的 “補瀏覽器環境” 其實是補瀏覽器有 而Node沒有的環境，即 補BOM和DOM的物件；

二：為什麼要 “補瀏覽器環境”？

對於逆向老手而言，“補環境” 這個詞不會陌生，當我們每次把辛辛苦苦扣出來的 “js加密演算法程式碼”，並且放在瀏覽器環境中能正確執行後，就需要將它放到Node環境 中去執行，而由於Node環境與瀏覽器環境之間存在差異，會導致部分JS程式碼在瀏覽器中執行的結果 與在node中執行得到的結果不一樣，從而影響我們最終逆向成果；eg：

function decrypt() {
    document = false;
    var flag = document?true:false;
    if (flag) {
        return "正確加密"
    } else {
        return "錯誤加密";
    }
}

在瀏覽器環境執行時 flag為true，然後得到正常結果；
在Node環境執行時 flag為false，然後得到錯誤結果；
 

所以我們需要 “補瀏覽器環境”，使得扣出來的 “js加密演算法程式碼” 在Node環境中執行得到的加密值，與其在 瀏覽器環境中執行得到的加密值一致。 即對於這段 “js加密演算法程式碼” 而言，我們補出來的環境與瀏覽器環境一致。

三：怎麼 “補瀏覽器環境”？

要想 “補瀏覽器環境”，首先我們得知道 “js加密演算法程式碼” 到底使用了哪些瀏覽器環境API，然後再對應去補上這些環境；

那麼我們該如何監測 “js加密演算法程式碼” 對瀏覽器環境API的使用呢？

毫無爭議：使用Proxy來監測瀏覽器環境API的使用，輔助補瀏覽器環境”

Proxy是ES6提供的代理器，用於建立一個物件的代理，從而實現基本操作的攔截和自定義（如屬性查詢、賦值、列舉、函式呼叫等）。 它可以代理任何型別的物件，包括原生陣列，函式，甚至另一個代理；擁有遞迴套娃的能力！！

也就是說 我們代理某個物件後，我們就成了它的中間商，任何JS程式碼對它的任何操作都可以被我們所攔截！！

# 對navigator物件進行代理，並設定攔截後的操作
var handler = {set:funcA,get:funcB,deleteProperty:funcC,has:funcD ...};
navigator = new Proxy(navigator,handler);
# 對代理後的navigator進行各種操作都會被攔截並觸發對應處理函式
navigator.userAgent 會被攔截並觸發 get  funcB
navigator.userAgent = "xx" 會被攔截並觸發 set funcA
delete navigator; 會被攔截並觸發 deleteProperty funC
"userAgent" in navigator  會被攔截並觸發 has funD ...
等等... 任何操作都可以被攔截

基於Proxy的特性，衍生了兩種補環境思路：

1. 遞迴巢狀Proxy以此來代理瀏覽器所有的BOM、DOM物件及其屬性，再配合node vm2模組提供的純淨V8環境，就相當於在node中，對整個瀏覽器環境物件進行了代理，JS程式碼使用任何瀏覽器環境 api都能被我們所攔截。然後我們針對攔截到的環境檢測點去補。
2. 搭建補環境框架，用JS模擬瀏覽器基於原型鏈去偽造實現各個BOM、DOM物件，然後將這些JS組織起來，形成一個純JS丐版瀏覽器環境，我們補的純JS丐版瀏覽器環境越完善，就越接近真實瀏覽器環境，能通殺的js環境檢測就越多。最終完美通殺所有JS環境檢測！！；示例：b站搜 "志遠補環境"

第一種思路雖然實現簡單，主要是對Proxy攔截器的使用 ，但是具備的環境監測能力有限，對較複雜的原型鏈等難以監測，即使是二次開發也上限不高；並且遇到JS使用了很多環境時手補也相當麻煩；
第二種思路雖然實現較為複雜，但是上限極高，且可以完美相容第一種思路，具備可成長的通殺潛質。

所以業內補環境框架幾乎都是基於第二種思路，先搭建一個補環境框架的骨架，將常見瀏覽器環境BOM、DOM物件補齊，如：window、location、Document、navigator等，等空閒時或工作遇到其他瀏覽器環境BOM、DOM物件，再將它補進來。補的越完善，我們能通殺JS環境檢測越多。

優點：

• 補的越完善，能通殺JS環境檢測越多。最終完美通殺所有JS環境檢測！！；
• 一鍵執行輸出目標JS中所有環境檢測點；
• 生成的最終程式碼可直接用於生產環境（可直接供nodejs、v8使用）；
• 告別玄學補環境，不再一行行去debugger，極大提高工作效率。
• 可以在Chrome瀏覽器進行無瀏覽器環境除錯。
• 新人彎道超車必備
• .....

四：“補環境框架”實戰

傳統補環境格式：

// 環境頭：
window = global;
navigator= {userAgent:"Mozilla/5.0 (Windows NT 1";}
// 扣出來的JS
........
......

傳統補環境太簡陋，而且不夠通用，程式碼組織混亂，我們最好將其組織為一個專案：

補環境框架專案整體結構：

那麼實現這麼一個瀏覽器補環境框架需要哪些步驟哪些考慮呢？

• 先確定框架執行主流程，即入口檔案 。
• 每個BOM、DOM物件的實現都使用一個單獨的js檔案，便於定位及維護。
• 將這些BOM、DOM檔案按照原型鏈的優先順序進行讀取，拼接成整個瀏覽器環境。
• 思考如何去實現一個BOM、DOM物件使其和瀏覽器一致；（這個是影響框架上限的重要因素，同時也包含大量重複性人力工作）
• 事件的處理（對行為驗證碼有幫助）
• 思考如何保證JS中使用到的所有瀏覽器環境都能被我們所檢測；（這個是影響框架上限的重要因素）
• 如何設計優化補環境框架專案的可擴充套件、可維護性；（非常必要）
  ...
  還有一些其他細節思考，我們的目標框架就是 一個易於可擴充套件與維護、能檢測到JS中所有瀏覽器環境API的使用、實現了常見瀏覽器環境方法等，讓我們在之後補環境中，達到通殺效果。

如果對於原理及實現方向 思考不夠全面、深入，那麼實現的框架上限會有限，出現玄學的概率就大了，我也是經歷了很長時間打磨，多次推倒重來、借鑑多個課程，最終實現這個理想的框架。

下面就是一些具體的實現：
以下就是主流程入口骨架：

var  fs = require('fs');
var catvm2 = require('./CatVm2/catvm2.node.js');

const {VM,VMScript} = require('vm2'); //看作純淨V8

var catvm2_code = catvm2.GetCode();  //獲取所有程式碼（工具程式碼、補的所有BOM、DOM物件）
var web_js_code = fs.readFileSync(`${__dirname}/target/get_b_fz.js`) ; // 獲取目標網站js程式碼
var log_code = "\r\ncatvm.print.getAll();debugger;\r\r";
var all_code = catvm2_code+web_js_code+log_code;
fs.writeFileSync(`${__dirname}/debugger_bak.js`,all_code);
const script = new VMScript(all_code,`${__dirname}/debugger.js`); //真實路徑，瀏覽器開啟的就是該快取檔案

const vm = new VM(); // new 一個純淨v8環境
debugger
vm.run(script); // 在V8環境中執行除錯
debugger

骨架搭好之後我們就要去補對應的BOM、DOM物件，比如補Navigator：
1、先在瀏覽器環境觀察該物件：Navigator，
能否進行new Navigator,不能的話則在其建構函式定義中丟擲異常，能的話不拋；

var dsf_tmp_context = catvm.memory.variable.Navigator = {};
var Navigator = function Navigator() { // 建構函式
	throw new TypeError("Illegal constructor");
}; catvm.safefunction(Navigator);//13

2、檢視其原型Navigator.prototype 的屬性、方法、原型鏈，
發現Navigator原型屬性、方法不能通過原型呼叫，即
Navigator.appVersion 會丟擲異常。
發現 其原型鏈只有一層，即Navigator.prototype.__proto__ === Object.prototype

3、在瀏覽器環境觀察其例項物件：navigator
檢視其屬性、方法與 原型上的差異，發現差不多，基本都是繼承原型的。
因此可以簡單補成下面這樣：

Object.defineProperties(Navigator.prototype, {
    [Symbol.toStringTag]: {
		value: "Navigator",
	    configurable: true
	}
});
var navigator = {};
navigator.__proto__ = Navigator.prototype;


Navigator.prototype.plugins = [];
Navigator.prototype.languages = ["zh-CN", "zh"];
Navigator.prototype.userAgent = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36';
Navigator.prototype.platform = 'Win32';
Navigator.prototype.maxTouchPoints = 0;
Navigator.prototype.onLine = true;
for (var _prototype in Navigator.prototype) {
    navigator[_prototype] = Navigator.prototype[_prototype];
    if (typeof (Navigator.prototype[_prototype]) != "function") {
        Navigator.prototype.__defineGetter__(_prototype, function () {
            debugger;
            var e = new Error();
            e.name = "TypeError";
            e.message = "Illegal constructor";
            e.stack = "VM988:1 Uncaught TypeError: Illegal invocation \r\n " +
                "at <anonymous>:1:21";
            throw e;
            // throw new TypeError("Illegal constructor");
        });
    }
}

// 加上代理
navigator = catvm.proxy(navigator);

注：上面例項只是一種補環境思路，是基於物件.屬性粒度；我個人用的是另一種思路，基於物件.屬性.特性粒度即Object.getOwnPropertyDescriptor 的value,writable..等，雖然需要補程式碼更多，但是模擬的效果更完美，理論上限極高。

瀏覽器物件及屬性實在太多了，我們不可能手動補那麼物件屬性，因此要想補出一個完美瀏覽器環境，我們需要編寫瀏覽器環境自吐指令碼。即在瀏覽器執行該指令碼，它會將某個瀏覽器環境物件的所有屬性與方法，拼接成我們框架所需要的補環境程式碼，我們直接貼上進來，稍微改改即可。

我們可以藉助：Reflect.ownKeys(real_obj)來獲取該物件的所有屬性與方法，
然後對其 attr進行各種判斷、處理，最終拼接成我們需要的樣子。

var all_attrs = Reflect.ownKeys(real_obj);
var continue_attrs = ["prototype", "constructor"];
for (let index = 0; index < all_attrs.length; index++) {
    let attr_name = all_attrs[index];
    // 暫時不處理在 continue_attrs 中的屬性
    if (continue_attrs.indexOf(attr_name) != -1) {
        console.log(`遇到 ${attr_name}，跳過`);
        continue
    }
        if (attr_name == Symbol.toStringTag) {
            result_code = `Object.defineProperties(${repair_obj}, {
    [Symbol.toStringTag]: {
		value: "${real_obj[Symbol.toStringTag]}",
	    configurable: true
	}
});//23\n`;
            symbol_code_ls.push(result_code);
            continue
        }
    }
    ..........太長，略過（下面框架原始碼中有）

每補完一個瀏覽器物件之後，可以執行起來與真實瀏覽器進行對比，逐步優化，最終達到完美效果。

五：“補環境框架”成品原始碼

補環境框架儼然成為JS逆向人員的大殺器，也是眾多面試官的考察點。我們已經瞭解了 它的原理及實現步驟，接下來我們可以嘗試自己從頭實現一個完善的補環境框架，但是這會花費很長一段時間來進行開發，而且其中有很多重複性工作比較無聊（複製貼上對比等）。

走快車道：

我在這條路已經走的比較久，補了很多環境，如果你想省下大段時間極大提高效率，直接彎道超車的話，可以 微信聯絡我：dengshengfeng666 付費原始碼借鑑；
統一固定價 99，付完直接發源碼（有readme可直接小白上手），後續有疑問可以直接問我。
或者直接在CSDN私信我。

部分成果展示（以頭條 sign值為例）：

監測到的檢測點，做過的靚仔可以看看是不是都有

與真實瀏覽器對比

彎道超車，從我做起