跳过导航,直达内容
YunHai LogoYunHai

Search

    技术, AST, OB混淆

    AST解混淆技术

    YunHai
    ··53 分钟阅读

    AST解混淆技术详解:代码结构化还原的关键方法

    AST解混淆是一种基于抽象语法树的技术手段,能够有效还原经过混淆处理的代码结构,提高代码可读性,是逆向工程、安全审计和代码分析的重要工具。 通过解析混淆代码的AST结构,识别并重构混淆特征,可以将难以理解的代码恢复为具有语义意义的形式。AST解混淆在处理变量重命名、字符串加密和控制流平坦化等常见混淆技术时表现出色,能够精准定位混淆点并进行结构化还原。

    概念定义

    AST(Abstract Syntax Tree,抽象语法树)是源代码的树状表示形式,它忽略了代码中的无关细节(如括号、空格),只关注代码的语法结构和语义信息。在代码混淆过程中,混淆器通常会修改代码的标识符、加密字符串或重组控制流,但这些修改往往在AST层面有明显的特征表现。AST解混淆正是利用这些特征,通过分析和修改AST结构,将混淆代码还原为可读形式。

    AST解混淆的核心在于理解混淆技术在语法树中的表现形式,并开发相应的解析和重构策略。例如,变量重命名会在AST的Identifier节点上留下痕迹,字符串加密可能表现为CallExpression节点调用解密函数,控制流平坦化则会形成由主循环和状态变量控制的SwitchStatement结构。通过识别这些特征并进行针对性处理,可以实现高效的解混淆。

    常见混淆技术及其AST特征

    在分析AST解混淆技术前,需要了解常见的代码混淆技术及其在AST层面的特征表现:

    变量重命名

    混淆器通常将变量名、函数名替换为无意义的标识符(如_0x1a2bab等),这是最基础也是最常见的混淆手段。在AST中,这种混淆表现为VariableDeclarationFunctionDeclaration等节点的id.name属性被修改为难以理解的名称。例如,原本有意义的变量名data可能被混淆为_0x3cde,函数decodeString可能被混淆为_0x1a2b

     
     
    javascript
    // 混淆前
function decodeString(s) {
  return atob(s);
}
const message = "SGVsbG8=";

// 混淆后
function _0x1a2b(s) {
  return atob(s);
}
const _0x3cde = "SGVsbG8=";

    字符串加密

    字符串加密是混淆器常用的技术,它通过将字符串转换为十六进制、Unicode编码或通过函数调用动态解密来隐藏信息。在AST中,加密字符串可能以两种形式存在:一种是直接存储为StringLiteral节点的加密值(如十六进制形式"\\x48\\x65\\x6C\\x6C\\x6F"),另一种是通过函数调用动态解密(如atob("SGVsbG8="))。后者在AST中表现为CallExpression节点,其callee属性指向解密函数,arguments数组包含加密字符串。

     
     
    javascript
    // 静态加密字符串
const _0x3cde = [("\\x48\\x65\\x6C\\x6C\\x6F"), ("\\x77\\x6F\\x72\\x6C\\x64")];

// 动态加密调用
console.log(atob("SGVsbG8="));

    控制流平坦化

    控制流平坦化是一种高级混淆技术,它将程序的正常控制流(如条件分支、循环)替换为由主循环和状态变量控制的等效结构。在AST中,这种混淆表现为一个包含SwitchStatementWhileStatementForStatement循环。状态变量通过条件分支决定程序执行路径,使得代码逻辑变得复杂且难以直观理解。

     
     
    javascript
    // 控制流平坦化
let state = 0;
while (true) {
  switch (state) {
    case 0:
      console.log("Step 1");
      state = 1;
      break;
    case 1:
      console.log("Step 2");
      state = 2;
      break;
    case 2:
      console.log("Step 3");
      state = 3;
      break;
    case 3:
      console.log("Step 4");
      break;
  }
  if (state === 3) break;
}

    AST解混淆的核心工具链

    AST解混淆通常依赖于一套工具链,用于解析、遍历、修改和生成代码。以下是几种关键工具及其作用:

    Babel

    Babel是一个广泛使用的JavaScript编译器,但它也提供了强大的AST操作能力。Babel工具链包括以下几个核心模块:

    模块 功能 在解混淆中的作用
    @babel/parser 将JavaScript代码解析为AST 解混淆的第一步,生成可操作的抽象语法树
    @babel/traverse 遍历AST并修改节点 识别混淆特征节点(如IdentifierCallExpression)并进行替换
    @babel/core Babel的核心编译流程 集成插件系统,支持自定义解混淆逻辑
    @babel/generator 将修改后的AST重新生成源代码 确保生成的代码与原始功能一致且可读

    Babel的优势在于其完整的AST操作流程,从解析到生成均可轻松实现。例如,要重命名变量,可以编写一个Babel插件,定义访问者模式遍历Identifier节点,并修改其名称属性:

     
     
    javascript
    // Babel插件示例:变量重命名
module.exports = function({ types: t }) {
  return {
    visitor: {
      Identifier(path) {
        if (path.node.name === '_0x1a2b') {
          path.node.name = 'decodeString';
        }
      }
    }
  };
};

    Esprima

    Esprima是一个高性能的ECMAScript解析器,能够将JavaScript代码转换为AST。虽然Esprima主要用于解析,但也可以与其他工具(如@babel/generator)结合使用进行解混淆。Esprima的优势在于其轻量级和快速解析能力,适合简单的AST分析任务。

     
     
    javascript
    // 使用Esprima解析代码生成AST
const esprima = require('esprima');
const code = 'const _0x3cde = [("\\x48\\x65\\x6C\\x6C\\x6F"), ("\\x77\\x6F\\x72\\x6C\\x64")];';
const ast = esprima.parseScript(code);
console.log(ast);

    AST Explorer

    AST Explorer是一个在线工具,支持多种前端语言和解析器,能够直观地展示代码的AST结构。它在解混淆中的主要作用是可视化分析,帮助开发者快速理解混淆代码的结构特征,验证解混淆逻辑的正确性。

    AST解混淆的基本操作流程

    AST解混淆通常遵循以下标准化流程:

    解析代码生成AST

    首先,使用解析器(如@babel/parser或Esprima)将混淆代码转换为AST。这一步是解混淆的基础,因为后续的分析和修改都基于AST结构进行。

     
     
    javascript
    // 使用Babel解析代码
const parser = require('@babel/parser');
const code = fs.readFileSync('obfuscated.js', 'utf-8');
const ast = parser.parse(code);

    遍历AST识别混淆特征

    接下来,通过遍历工具(如@babel/traverse)分析AST,识别混淆特征节点。这一步需要根据具体的混淆技术制定识别策略。例如,对于变量重命名,可以遍历所有Identifier节点;对于字符串加密,可以关注StringLiteralCallExpression节点。

     
     
    javascript
    // 遍历AST识别变量混淆
const traverse = require('@babel/traverse').default;
traverse(ast, {
  Identifier(path) {
    if (isObfuscatedName(path.node.name)) {
      // 标记或记录混淆变量
    }
  }
});

    重构AST

    在识别到混淆特征后,使用类型工具(如@babel/types)创建新的AST节点替换原有节点。这一步是解混淆的核心,需要确保修改后的AST在语义上与原始代码一致。例如,重命名变量需要同时修改变量声明和所有引用该变量的节点。

     
     
    javascript
    // 重构AST:解密十六进制字符串
const types = require('@babel/types');
traverse(ast, {
  StringLiteral(path) {
    if (path.node.value.startsWith('\\x')) {
      const decoded = decodeHexString(path.node.value);
      path.replaceWith(types.stringLiteral(decoded));
    }
  }
});

    生成还原后的代码

    最后,使用代码生成工具(如@babel/generator)将修改后的AST转换回可读的源代码。这一步需要确保生成的代码语法正确且功能不变。

     
     
    javascript
    // 生成还原后的代码
const generator = require('@babel/generator').default;
const { code } = generator(ast);
fs.writeFileSync('deobfuscated.js', code);

    实战案例:变量重命名解混淆

    案例背景

    假设有一段经过变量重命名混淆的JavaScript代码:

     
     
    javascript
    function _0x1a2b(s) {
  return atob(s);
}
const _0x3cde = _0x1a2b("SGVsbG8=");
console.log(_0x3cde);

    这段代码中,decodeString函数被混淆为_0x1a2b,变量message被混淆为_0x3cde

    关键步骤解析

    步骤1:解析代码生成AST

    使用@babel/parser将代码转换为AST:

     
     
    javascript
    const parser = require('@babel/parser');
const code = 'function _0x1a2b(s) { return atob(s); }\nconst _0x3cde = _0x1a2b("SGVsbG8=");';
const ast = parser.parse(code);

    生成的AST中,函数声明的id.name属性为_0x1a2b,变量声明的id.name属性为_0x3cde

    步骤2:遍历AST识别混淆特征

    使用@babel/traverse遍历AST,识别需要重命名的节点:

     
     
    javascript
    const traverse = require('@babel/traverse').default;
traverse(ast, {
  FunctionDeclaration(path) {
    if (path.node.id.name === '_0x1a2b') {
      // 函数名混淆
    }
  },
  VariableDeclarator(path) {
    if (path.node.id.name === '_0x3cde') {
      // 变量名混淆
    }
  }
});

    步骤3:重构AST

    使用@babel/types创建新节点替换原有混淆节点:

     
     
    javascript
    // 重构函数名
FunctionDeclaration(path) {
  if (path.node.id.name === '_0x1a2b') {
    path.node.id.name = 'decodeString';
  }
}

// 重构变量名
VariableDeclarator(path) {
  if (path.node.id.name === '_0x3cde') {
    path.node.id.name = 'message';
    // 同时更新所有引用该变量的节点
    const binding = path.scope.getBinding('_0x3cde');
    if (binding) {
      binding.referencePaths.forEach(refPath => {
        refPath.node.name = 'message';
      });
    }
  }
}

    步骤4:生成还原后的代码

    使用@babel/generator将修改后的AST转换为可读代码:

     
     
    javascript
    const generator = require('@babel/generator').default;
const { code } = generator(ast);
console.log(code);

    还原结果:

     
     
    javascript
    function decodeString(s) {
  return atob(s);
}
const message = decodeString("SGVsbG8=");
console.log(message);

    实战案例:字符串加密解混淆

    案例背景

    假设有一段经过字符串加密混淆的JavaScript代码:

     
     
    javascript
    const _0x3cde = [("\\x48\\x65\\x6C\\x6C\\x6F"), ("\\x77\\x6F\\x72\\x6C\\x64")];
console.log(_0x3cde[0] + " " + _0x3cde[1]);

    这段代码中,字符串"Hello""world"被转换为十六进制形式"\\x48\\x65\\x6C\\x6C\\x6F""\\x77\\x6F\\x72\\x6C\\x64"存储在数组_0x3cde中。

    关键步骤解析

    步骤1:解析代码生成AST

    使用@babel/parser解析代码:

     
     
    javascript
    const ast = parser.parse(code);

    步骤2:遍历AST识别混淆特征

    定位StringLiteral节点并检查其值是否为十六进制编码:

     
     
    javascript
    traverse(ast, {
  StringLiteral(path) {
    if (path.node.value.startsWith('\\x')) {
      // 标记为需要解密的字符串
    }
  }
});

    步骤3:重构AST

    编写解密函数并替换StringLiteral节点:

     
     
    javascript
    StringLiteral(path) {
  if (path.node.value.startsWith('\\x')) {
    const decoded = path.node.value.replace(/\\x([0-9A-Fa-f]{2})/g, (match, hex) => {
      return String.fromCharCode(parseInt(hex, 16));
    });
    path.replaceWith(types.stringLiteral(decoded));
  }
}

    步骤4:生成还原后的代码

    使用@babel/generator生成代码:

     
     
    javascript
    const { code } = generator(ast);
console.log(code);

    还原结果:

     
     
    javascript
    const words = ["Hello", "world"];
console.log(words[0] + " " + words[1]);

    实战案例:控制流平坦化解混淆

    案例背景

    假设有一段经过控制流平坦化混淆的JavaScript代码:

     
     
    javascript
    function _0x1234() {
  const _0x5678 = [2, 0, 1];
  while (true) {
    switch (_0x5678.shift()) {
      case 0:
        console.log("world");
        continue;
      case 1:
        console.log("!");
        continue;
      case 2:
        console.log("Hello");
        continue;
    }
    break;
  }
}

    这段代码中,原本的顺序执行被替换为由数组_0x5678控制的switch-case结构。

    关键步骤解析

    步骤1:解析代码生成AST

    使用@babel/parser解析代码:

     
     
    javascript
    const ast = parser.parse(code);

    步骤2:遍历AST识别混淆特征

    定位控制流平坦化的结构特征:

     
     
    javascript
    traverse(ast, {
  FunctionDeclaration(path) {
    // 找到包含控制流结构的函数
  },
  WhileStatement(path) {
    // 识别主循环结构
  },
  SwitchStatement(path) {
    // 分析switch语句中的状态变量
  }
});

    步骤3:重构AST

    提取控制流顺序并按顺序合并case块中的语句:

     
     
    javascript
    FunctionDeclaration(path) {
  // 1. 定位控制流数组声明
  const controlFlowDecl = path.node.body.body.find(n => {
    return t.isVariableDeclaration(n) && n.declarations[0].id.name === '_0x5678';
  });
  
  if (!controlFlowDecl) return;
  
  // 2. 提取控制流顺序 [2,0,1]
  const controlFlowArray = controlFlowDecl.declarations[0].init.elements
    .map(e => e.value);
  
  // 3. 删除控制流数组声明
  path.node.body.body = path.node.body.body.filter(n => n !== controlFlowDecl);
  
  // 4. 提取switch语句
  const switchStmt = path.node.body.body.find(n => {
    return t.isWhileStatement(n) ? n.body.body.find(m => t.isSwitchStatement(m)) : null;
  });
  
  // 5. 按顺序合并case块中的语句
  const newStatements = controlFlowArray.map(index => {
    const caseNode = switchStmt.cases.find(c => c.test.value === index);
    return caseNode.consequent;
  });
  
  // 6. 替换整个控制流结构
  path.replaceWithMultiple(types.blockStatement(newStatements平坦化还原后,代码逻辑将变得清晰直观,有利于进一步分析和理解。

    总结

    AST解混淆技术通过解析混淆代码的抽象语法树,识别并重构混淆特征,能够有效还原代码的可读性和逻辑结构。这一技术在应对变量重命名、字符串加密和控制流平坦化等常见混淆手段时表现出色,是逆向工程和代码分析的重要工具。

    在实际应用中,AST解混淆需要结合多种工具和策略。Babel提供了完整的AST操作链,从解析到生成均可轻松实现;Esprima作为轻量级解析器,适合基础的AST生成需求;AST Explorer则为可视化分析提供了便利,帮助开发者快速理解代码结构。

    需要注意的是,AST解混淆并非万能,对于某些高级混淆技术(如多层加密或动态生成代码),可能需要结合其他逆向工程方法。此外,解混淆后的代码可能仍需进一步的语义分析和优化,才能达到完全可读和可理解的状态。

    掌握AST解混淆技术,不仅能够帮助开发者应对代码混淆挑战,还能够深入理解代码的结构和执行流程,提升代码分析和逆向工程能力。

    AST解混淆代码分析逆向工程