技术教程破解资源

某讯滑块验证码反汇编分析-第二章

整理:jimmy2024/11/17浏览2
简介@TOC反汇编难点分析首先就是上一章提到的,指令的顺序是会变的假设某序号为1的指令为【I[I.length - 2] = I[I.length - 2] + I.pop();】这个指令可能在下一次请求的时候,序号变成了2或者3,也可能序号不变。但是标识符由I变成了Q或者其他,例如变成了【Q[Q.le

@TOC

反汇编难点分析

首先就是上一章提到的,指令的顺序是会变的

假设某序号为1的指令为【I[I.length - 2] = I[I.length - 2] + I.pop();】

这个指令可能在下一次请求的时候,序号变成了2或者3,也可能序号不变。但是标识符由I变成了Q或者其他,例如变成了【Q[Q.length - 2] = Q[Q.length - 2] + Q.pop();】

在这种情况下,不能使用与之前某乎一样的利用序号的方式来识别指令动作,需要想办法把可变的东西转换成固定的东西,我这里使用的是转换成自己的一套助记符,部分如下

某讯滑块验证码反汇编分析-第二章

那么每次在处理反汇编前,把原生的js代码使用ast提取出一个助记符表和指令码,那么这就可以使用一套代码来反汇编了。

主要难点是
1.处理条件分支和循环分支
2.处理子函数定义、形参、临时变量、闭包参数
某讯的混淆器还是比较强的,他还支持某些语法
3.处理try catch语句和throw语句
4.处理for in语句

反汇编帮助跟踪参数生成函数

某讯滑块验证码反汇编分析-第二章

根据上一篇中反汇编的结果,很容易发现vm的源代码是一个webpack打包的,因为其完全符合webpack的特征。

初始化的时候加载了【0】函数,那么继续往下看

某讯滑块验证码反汇编分析-第二章
效果还是非常好的,逻辑很清晰,在全局TDC上绑定一个对象,并且在这个对象绑定四个函数,分别为【getInfo,setData,clearTc,getData】,其中还导入了【3】模块的函数,这个后面再看

某讯滑块验证码反汇编分析-第二章

eks参数实际就是在getInfo函数的返回值的info参数,先看这个简单的

某讯滑块验证码反汇编分析-第二章
可以看到返回值就是window上的值,其实这个值就在js代码里面返回的,如下图

某讯滑块验证码反汇编分析-第二章
因为这一段每次请求都是一段随机值,所以图片中的值可能会变来变去的,但是不影响逻辑分析。

在函数返回前,还执行了一个【mInit】函数,从名字看来是一个初始化函数,那么先看看【3】模块都有些什么

某讯滑块验证码反汇编分析-第二章
可以看到mGetData绑定的是【6208】函数。另外的,mSet是【4932】,mClear是【5086】,mInit是【5187】,接下来看看init都做了些什么

某讯滑块验证码反汇编分析-第二章
但这样看其实看不出什么,后来调试才知道,这是在处理模块【7】的,这是一段环境数组在开始工作

某讯滑块验证码反汇编分析-第二章
模块【7】导入了相当多的模块,这里的每一个模块,都是一个环境检测点,检测的东西可以说也是非常多的

某讯滑块验证码反汇编分析-第二章
这是init初始化的后半部分,如果模块有导出on函数,那么就执行这个函数,这里其实是为了后面的getData做准备,那么接着看看getData。

某讯滑块验证码反汇编分析-第二章
首先调用的【_0x6208_8】函数是模块【59】的【setErrorStack】函数,看函数名可以预测到会存在堆栈环境监测

接着【_0x6208_12】就是核心的区环境和加密的函数了,绑定的是【4332】

某讯滑块验证码反汇编分析-第二章
这里就是循环那个很多导入模块的数组,依次执行里面的【get】函数,把得到的环境参数进行拼接和加密。

后面再分析几个检测函数,以及看看对数据是如何进行加密的