破解资源 
首页 > 破解资源 > 浏览文章

某讯滑块验证码反汇编分析-第二章

(编辑:jimmy 日期: 2024/11/16 浏览:3 次 )

@TOC

反汇编难点分析

首先就是上一章提到的,指令的顺序是会变的

假设某序号为1的指令为【I[I.length - 2] = I[I.length - 2] + I.pop();】

这个指令可能在下一次请求的时候,序号变成了2或者3,也可能序号不变。但是标识符由I变成了Q或者其他,例如变成了【Q[Q.length - 2] = Q[Q.length - 2] + Q.pop();】

在这种情况下,不能使用与之前某乎一样的利用序号的方式来识别指令动作,需要想办法把可变的东西转换成固定的东西,我这里使用的是转换成自己的一套助记符,部分如下

某讯滑块验证码反汇编分析-第二章

那么每次在处理反汇编前,把原生的js代码使用ast提取出一个助记符表和指令码,那么这就可以使用一套代码来反汇编了。

主要难点是
1.处理条件分支和循环分支
2.处理子函数定义、形参、临时变量、闭包参数
某讯的混淆器还是比较强的,他还支持某些语法
3.处理try catch语句和throw语句
4.处理for in语句

反汇编帮助跟踪参数生成函数

某讯滑块验证码反汇编分析-第二章

根据上一篇中反汇编的结果,很容易发现vm的源代码是一个webpack打包的,因为其完全符合webpack的特征。

初始化的时候加载了【0】函数,那么继续往下看

某讯滑块验证码反汇编分析-第二章
效果还是非常好的,逻辑很清晰,在全局TDC上绑定一个对象,并且在这个对象绑定四个函数,分别为【getInfo,setData,clearTc,getData】,其中还导入了【3】模块的函数,这个后面再看

某讯滑块验证码反汇编分析-第二章

eks参数实际就是在getInfo函数的返回值的info参数,先看这个简单的

某讯滑块验证码反汇编分析-第二章
可以看到返回值就是window上的值,其实这个值就在js代码里面返回的,如下图

某讯滑块验证码反汇编分析-第二章
因为这一段每次请求都是一段随机值,所以图片中的值可能会变来变去的,但是不影响逻辑分析。

在函数返回前,还执行了一个【mInit】函数,从名字看来是一个初始化函数,那么先看看【3】模块都有些什么

某讯滑块验证码反汇编分析-第二章
可以看到mGetData绑定的是【6208】函数。另外的,mSet是【4932】,mClear是【5086】,mInit是【5187】,接下来看看init都做了些什么

某讯滑块验证码反汇编分析-第二章
但这样看其实看不出什么,后来调试才知道,这是在处理模块【7】的,这是一段环境数组在开始工作

某讯滑块验证码反汇编分析-第二章
模块【7】导入了相当多的模块,这里的每一个模块,都是一个环境检测点,检测的东西可以说也是非常多的

某讯滑块验证码反汇编分析-第二章
这是init初始化的后半部分,如果模块有导出on函数,那么就执行这个函数,这里其实是为了后面的getData做准备,那么接着看看getData。

某讯滑块验证码反汇编分析-第二章
首先调用的【_0x6208_8】函数是模块【59】的【setErrorStack】函数,看函数名可以预测到会存在堆栈环境监测

接着【_0x6208_12】就是核心的区环境和加密的函数了,绑定的是【4332】

某讯滑块验证码反汇编分析-第二章
这里就是循环那个很多导入模块的数组,依次执行里面的【get】函数,把得到的环境参数进行拼接和加密。

后面再分析几个检测函数,以及看看对数据是如何进行加密的

上一篇:某软件里提取的截图模块,截图2.0精简好用
下一篇:【Android & iOS】微信键盘正式版 v1.0.0 来了!不够小,但挺美
一句话新闻
微软与英特尔等合作伙伴联合定义“AI PC”:键盘需配有Copilot物理按键
几个月来,英特尔、微软、AMD和其它厂商都在共同推动“AI PC”的想法,朝着更多的AI功能迈进。在近日,英特尔在台北举行的开发者活动中,也宣布了关于AI PC加速计划、新的PC开发者计划和独立硬件供应商计划。
在此次发布会上,英特尔还发布了全新的全新的酷睿Ultra Meteor Lake NUC开发套件,以及联合微软等合作伙伴联合定义“AI PC”的定义标准。