对 javascript-obfuscator 做哪些修改能有效地让 Google 上可以直接搜到的现成的那些 ob 反混淆工具失效?

59 天前
 drymonfidelia

我知道用 AST 手动一点一点逆向没有可能防住,但是针对 javascript-obfuscator 这一类通用混淆工具现成的反混淆工具太多了,免费的效果也不错,导致逆向没有一点技术门槛了,脚本小子找点工具就能逆向。

985 次点击
所在节点    程序员
5 条回复
h1298841903
59 天前
对前端不太了解。是否可以使用 C++ (WebAssembly)这类逆向难度较高的语言,对部分高敏感逻辑进行混淆?
newaccount
59 天前
转 wasm ?谁有试过什么工具没
liuidetmks
59 天前
开个脑洞,可以尝试,在平坦流时候,利用 rsa 欧拉定理对一些整数进行操作,但是结果还是原来的值
web 端随机生成小素数 e ,服务端返回 D 和 N ,不用太大,几千以内就够了

var b = 1000n
var rnd = BigInt(Math.floor(Math.random() * 100))
var rnd2 = BigInt(Math.floor(Math.random() * 100))
var tmpEnc = pow(rnd2,e,N)
/// 混淆表达式
var c = (b + rnd2 - pow(tmpEnc,D,N)) * pow(rnd, r, N)

第一个 pow 等于 rnd2 , 第二个等于 1 ,所以 c = b


///
https://paste.mozilla.org/smkZQcex
drymonfidelia
59 天前
@h1298841903
@newaccount 是营销活动的风控系统,收集浏览器信息要频繁调用 js 函数,用 wasm 好像不太行
lisxour
58 天前
没啥好办法,现在好多都是 js 全给你搞下来,找到关键入口,直接调你方法,套个环境就能跑了,各种地方都多做点防护吧,比如接口的话,后台也加上常规浏览器 header 检测等等,每个地方都搞一点检测,单靠 js 加密混淆起不了什么作用的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1083231

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX