某乎x96jsvmp算法还原新手初体验

lianguhong · 发表于 2022-6-6 01:54

本帖最后由 lianguhong 于 2022-6-6 08:50 编辑

@漁滒  跟栈跟值分析移步大佬文章没人比大佬更详细这里主要分析还原算法
样本：aHR0cHM6Ly93d3cuemhpaHUuY29tLw==

主要日志断点位置：
e.r[this.s][r](i[0], i[1]) -->主要是charCodeAt和charAt
e.r[this.c] + e.r[this.n] -->  密文拼接
e.r[this.c] | e.r[this.n]  -->  对每组每个元素的运算
e.r[this.c] & e.r[this.n] --> 密文运算
e.r[this.c] >>> e.r[this.n] --> 每组二三四次密文运算
不妙这里说完了怎么分析

直接进入算法分析环节
查看日志从结果反跟获得信息：密文为 'aXFqc4uykHtY6Rt0M_Y8FD98e8NpgU28G0Yyo09yoTNX'  当然这里是正确的结果

再往上看发现是计算出每个值并拼接而成且仔细的靓仔也发现了 "X" 来自对照表.charAt(4,) 那么 "4" 来自哪里内我们接着往上

push(4) pop(4)没用接着往上
锵锵对left值进行 & 63 得到那么接着跟left的4

又是两个值运算注意这两个值经过1204791 >>> 得到4 charAt(4,) = “X” 当然还对1204791有兴趣上跟

没有发现 right值18 反倒是一直在用left的值1204791 又对其12- 6- 63运算并得到了密文后四位"oTNX" 继续跟1204791的生成搜索 = 1204791

也是两个值运算得到 right值就在上面这么近先跟它

两个值运算好家伙永无止境了嘛不是

终于看到传入的明文了取了下标0并charCodeAt 明明是最后一个密文拼接还取0 搜索"8b7997937c8e4f4a0ca46008f9285561\u0000\".charCodeAt( 嗯是倒着取明文的

所以前面1204791 的right值= charCodeAt(0,) ^ 42 << 16 当然42 和16 都是根据加密轮数变化的
1204791的left值就长跟短说搜索 = 25143

删去点没有的日志 1204791的left值 = 55 | charCodeAt(1,) << 8 这么简单不是由跑出个55是未知的还有前面不是 << 16 这里又<< 8

只对charCodeAt(1,) ^ 0 嗯四个密文到头了取了前三个下标内容猜测就是倒序3个一组

单单一组 "oTNX" 的结束了纵观全局也是这样处理的无非运算时对几个固定值随加密轮数变化
结论

算法
测试这个函数，与浏览器生成的值是一样的当然可以写的更优雅点

[JavaScript] 纯文本查看 复制代码

var jjj = "RuPtXwxpThIZ0qyz_9fYLCOV8B1mMGKs7UnFHgN3iDaWAJE-Qrk2ecSo6bjd4vl5"
function sign(data){
	let a = b = c = 0
	let A = [42,0,0,0]
	let B = [8,16,8,16] 
	let C = [63,6,12,18]
	let len = data.length
	len % 3 == 1 ? data += "\u0000\u0000" : len % 3 == 2 ? data += "\u0000" : null
	len = data.length
	let result = ''
	function AA(){
		a == A.length ? a = 0:null
		return A[a++]
	}
	function BB(){
		b == B.length ? b = 0:null
		return B[b++]
	}
	function CC(){
		c == C.length ? c = 0:null
		return C[c++]
	}
	for(;len > 0; len = len-3) {
		let D = (data.charCodeAt(len -1) ^ AA()) | ((data.charCodeAt(len -2) ^ AA()) << BB())
		let E = D |  ((data.charCodeAt(len -3) ^ AA()) << BB())
		result += jjj.charAt(E & CC())
		result += jjj.charAt((E >>> CC()) & 63)
		result += jjj.charAt((E >>> CC()) & 63)
		result += jjj.charAt((E >>> CC()) & 63)
	}
	return result
}
//sign(data)

moyanblade112 · 发表于 2022-6-7 08:51

多谢大佬！

Hmily · 发表于 2022-6-6 15:04

lianguhong 发表于 2022-6-6 02:25
图越改越乱我不玩了

为啥不直接发文字了？图片好像就最后一个没贴进去？

lianguhong · 发表于 2022-6-6 02:25

图越改越乱我不玩了

一米七五 · 发表于 2022-6-6 19:44

这也忒BT了

minibeetuaman · 发表于 2022-6-7 09:03

分析VMP还是需要自动化工具辅助一下，徒手太硬了！

shayu2021 · 发表于 2022-6-7 09:05

提示: 作者被禁止或删除内容自动屏蔽

jiangshan567 · 发表于 2022-6-7 09:12

大佬牛逼

qwe2323 · 发表于 2022-6-7 12:51

大佬牛掰

Fxmles · 发表于 2022-6-7 13:11

学习了，大神厉害

帐号		自动登录	找回密码
密码			注册[Register]

[Web逆向] 某乎x96jsvmp算法还原新手初体验

免费评分

本帖被以下淘专辑推荐:

点评

shayu2021 shayu2021 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	shayu2021 发表于 2022-6-7 09:05 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报