某数算法分析

原创
02/26 12:19
阅读数 869

今天我们来分析一下某数的js 很多网站都用的,听说是有好几个版本,我也不知道,随便找一个,因为我们之前分析过,那是直接怼混淆,大家也许有点懵,这次我们来细细分析,此次干货多,大家慢慢品。

首先打开页面:
这个我之前说过一次,现在再说另几个方法绕过,

第一个是条件断点,也就是说满足条件会断下,不满足就跳过,

第二个是不断下,也就是说这一行设置好就不会断下来,

这两个操作前提是js不会变化,因为谷歌的v8引擎对js有优化如果是同一段js他会当成一个来执行,所以循环生成

(function() {
    var a = new  Date();
	debugger ;return  new  Date() \- a > 100;
}())

那真是一点用没有,都会优化走第一个生成的,除非你每次生成不一样的我们从引擎角度来分析大家就豁然开朗。

现在我们两处都禁止了,然后反过来看主页,我们从头开始看

我们看到他会加载一段js然后在执行下面这一段,我们看到上面还有一个<meta content=这个标签我们再到他渲染之后的dom看看

奇怪的是他渲染后就消失了,我们先看他加载了什么

这个js给win设置了一个对象里面设置了字符串。

因为我们之前被debugger拦住了,所以我们看一下他的文件

debugger文件都是动态代码,动态意味它使用了eval和Function 两种方式,这个你们自己去搜索,首先呢

我们分析到现在,发现了两处有着大量字符串的地方,这两处极有可能是两段解密后eval执行,根据我们的推测那下面这一段就是解密执行代码了,大体看一下。

那是非常眼熟啊,就是开始加载设置的那一段js字符串,我们搜索一下看他干了什么,

搜了一下发现好几处而且我们看到了execScript和eval

我们猜测他这个_$AI["6ca01ba"];拿到然后解密然后eval,我们发现这一大段都是在拼接代码

到这里我们可以简单推测一下,他是拿到_$AI["6ca01ba"]然后解密然后和他的代码拼接返回一个js代码段,然后运行再读取content再解密运行,我们推测他的大体流程就是这样,

当我们看到这个那他基本上就是用的eval来运行的第一层代码,这里他判断了functioneval(){[nativecode]} 这是判断有没有被劫持,我们接下来搜eval看看他那里运行的

$cm 这个赋值了,当我们搜$cm(的时候并没有任何东西,一般js调用除了_$cm()还有call和apply

我们发现了一个调用,因为刷新页面就要变,所以我们保存一下网页,然后代理加载调试,

我们分析的没错,他eval执行这一段然后再读取处理content再解密执行。

既然他这里是eval我们是不是可以把他解密的数据放进去方便调试呢,我们试试

可以正常加载,由于篇幅原因我们下一次接着讲

展开阅读全文
V8
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部