base64魔改算法 | jsvmp日志分析并还原
前言
上一篇我们讲了标准 base64 算法还原,为了进一步学习 base64 算法特点,本文将结合 jsvmp 日志,实战还原出 base64 魔改算法。
为了方便大家学习,我将入参和上篇文章一样,入参为 Hello, World!。
插桩
在js代码中,找到 运算符 位置以及 apply 插桩点,结合插桩日志框架,代码插桩如下:
jsvmp源码:https://t.zsxq.com/B5aRh
日志分析
代码执行后,日志如下:
第 1 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 0 ] 结果: 72
第 2 条: 函数: [Function: push] 调用者: [ 72 ] 参数: [ 72 ] 结果: 1
第 3 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 1 ] 结果: 101
第 4 条: 函数: [Function: push] 调用者: [ 72, 101 ] 参数: [ 101 ] 结果: 2
第 5 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 2 ] 结果: 108
第 6 条: 函数: [Function: push] 调用者: [ 72, 101, 108 ] 参数: [ 108 ] 结果: 3
第 7 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 3 ] 结果: 108
第 8 条: 函数: [Function: push] 调用者: [ 72, 101, 108, 108 ] 参数: [ 108 ] 结果: 4
第 9 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 4 ] 结果: 111
第 10 条: 函数: [Function: push] 调用者: [ 72, 101, 108, 108, 111 ] 参数: [ 111 ] 结果: 5
第 11 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 5 ] 结果: 44
第 12 条: 函数: [Function: push] 调用者: [ 72, 101, 108, 108, 111, 44 ] 参数: [ 44 ] 结果: 6
第 13 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 6 ] 结果: 32
第 14 条: 函数: [Function: push] 调用者: [72, 101, 108, 108,111, 44, 32
] 参数: [ 32 ] 结果: 7
第 15 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 7 ] 结果: 87
第 16 条: 函数: [Function: push] 调用者: [72, 101, 108, 108,111, 44, 32, 87
] 参数: [ 87 ] 结果: 8
第 17 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 8 ] 结果: 111
第 18 条: 函数: [Function: push] 调用者: [72, 101, 108, 108,111, 44, 32, 87,111
] 参数: [ 111 ] 结果: 9
第 19 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 9 ] 结果: 114
第 20 条: 函数: [Function: push] 调用者: [72, 101, 108, 108,111, 44, 32, 87,111, 114
] 参数: [ 114 ] 结果: 10
第 21 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 10 ] 结果: 108
第 22 条: 函数: [Function: push] 调用者: [72, 101, 108, 108,111, 44, 32, 87,111, 114, 108
] 参数: [ 108 ] 结果: 11
第 23 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 11 ] 结果: 100
第 24 条: 函数: [Function: push] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100
] 参数: [ 100 ] 结果: 12
第 25 条: 函数: [Function: charCodeAt] 调用者: Hello, World! 参数: [ 12 ] 结果: 33
第 26 条: 函数: [Function: push] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100, 33
] 参数: [ 33 ] 结果: 13
第 27 条: 0 + 3 ====> 3
第 28 条: 函数: [Function: slice] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100, 33
] 参数: [ 0, 3 ] 结果: [ 72, 101, 108 ]
第 29 条: 函数: [Function: slice] 调用者: [ 72, 101, 108 ] 参数: [] 结果: [ 72, 101, 108 ]
第 30 条: 3 - 3 ====> 0
第 31 条: 72 & 255 ====> 72
第 32 条: 101 & 255 ====> 101
第 33 条: 108 & 255 ====> 108
第 34 条: 72 << 16 ====> 4718592
第 35 条: 101 << 8 ====> 25856
第 36 条: 4718592 | 25856 ====> 4744448
第 37 条: 4744448 | 108 ====> 4744556
第 38 条: 4744556 >> 18 ====> 18
第 39 条: 18 & 63 ====> 18
第 40 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 18 ] 结果: w
第 41 条: 4744556 >> 12 ====> 1158
第 42 条: 1158 & 63 ====> 6
第 43 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 6 ] 结果: 4
第 44 条: 4744556 >> 6 ====> 74133
第 45 条: 74133 & 63 ====> 21
第 46 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 21 ] 结果: X
第 47 条: 4744556 & 63 ====> 44
第 48 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 44 ] 结果: u
第 49 条: 函数: [Function: apply] 调用者: [Function: t4] 参数: [ null, [ 72, 101, 108 ] ] 结果: [ 'w', '4', 'X', 'u' ]
第 50 条: + w ====> w
第 51 条: w + 4 ====> w4
第 52 条: w4 + X ====> w4X
第 53 条: w4X + u ====> w4Xu
第 54 条: 0 + 3 ====> 3
第 55 条: 3 + 3 ====> 6
第 56 条: 函数: [Function: slice] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100, 33
] 参数: [ 3, 6 ] 结果: [ 108, 111, 44 ]
第 57 条: 函数: [Function: slice] 调用者: [ 108, 111, 44 ] 参数: [] 结果: [ 108, 111, 44 ]
第 58 条: 3 - 3 ====> 0
第 59 条: 108 & 255 ====> 108
第 60 条: 111 & 255 ====> 111
第 61 条: 44 & 255 ====> 44
第 62 条: 108 << 16 ====> 7077888
第 63 条: 111 << 8 ====> 28416
第 64 条: 7077888 | 28416 ====> 7106304
第 65 条: 7106304 | 44 ====> 7106348
第 66 条: 7106348 >> 18 ====> 27
第 67 条: 27 & 63 ====> 27
第 68 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 27 ] 结果: +
第 69 条: 7106348 >> 12 ====> 1734
第 70 条: 1734 & 63 ====> 6
第 71 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 6 ] 结果: 4
第 72 条: 7106348 >> 6 ====> 111036
第 73 条: 111036 & 63 ====> 60
第 74 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 60 ] 结果: S
第 75 条: 7106348 & 63 ====> 44
第 76 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 44 ] 结果: u
第 77 条: 函数: [Function: apply] 调用者: [Function: t4] 参数: [ null, [ 108, 111, 44 ] ] 结果: [ '+', '4', 'S', 'u' ]
第 78 条: w4Xu + + ====> w4Xu+
第 79 条: w4Xu+ + 4 ====> w4Xu+4
第 80 条: w4Xu+4 + S ====> w4Xu+4S
第 81 条: w4Xu+4S + u ====> w4Xu+4Su
第 82 条: 3 + 3 ====> 6
第 83 条: 6 + 3 ====> 9
第 84 条: 函数: [Function: slice] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100, 33
] 参数: [ 6, 9 ] 结果: [ 32, 87, 111 ]
第 85 条: 函数: [Function: slice] 调用者: [ 32, 87, 111 ] 参数: [] 结果: [ 32, 87, 111 ]
第 86 条: 3 - 3 ====> 0
第 87 条: 32 & 255 ====> 32
第 88 条: 87 & 255 ====> 87
第 89 条: 111 & 255 ====> 111
第 90 条: 32 << 16 ====> 2097152
第 91 条: 87 << 8 ====> 22272
第 92 条: 2097152 | 22272 ====> 2119424
第 93 条: 2119424 | 111 ====> 2119535
第 94 条: 2119535 >> 18 ====> 8
第 95 条: 8 & 63 ====> 8
第 96 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 8 ] 结果: K
第 97 条: 2119535 >> 12 ====> 517
第 98 条: 517 & 63 ====> 5
第 99 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 5 ] 结果: h
第 100 条: 2119535 >> 6 ====> 33117
第 101 条: 33117 & 63 ====> 29
第 102 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 29 ] 结果: U
第 103 条: 2119535 & 63 ====> 47
第 104 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 47 ] 结果: F
第 105 条: 函数: [Function: apply] 调用者: [Function: t4] 参数: [ null, [ 32, 87, 111 ] ] 结果: [ 'K', 'h', 'U', 'F' ]
第 106 条: w4Xu+4Su + K ====> w4Xu+4SuK
第 107 条: w4Xu+4SuK + h ====> w4Xu+4SuKh
第 108 条: w4Xu+4SuKh + U ====> w4Xu+4SuKhU
第 109 条: w4Xu+4SuKhU + F ====> w4Xu+4SuKhUF
第 110 条: 6 + 3 ====> 9
第 111 条: 9 + 3 ====> 12
第 112 条: 函数: [Function: slice] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100, 33
] 参数: [ 9, 12 ] 结果: [ 114, 108, 100 ]
第 113 条: 函数: [Function: slice] 调用者: [ 114, 108, 100 ] 参数: [] 结果: [ 114, 108, 100 ]
第 114 条: 3 - 3 ====> 0
第 115 条: 114 & 255 ====> 114
第 116 条: 108 & 255 ====> 108
第 117 条: 100 & 255 ====> 100
第 118 条: 114 << 16 ====> 7471104
第 119 条: 108 << 8 ====> 27648
第 120 条: 7471104 | 27648 ====> 7498752
第 121 条: 7498752 | 100 ====> 7498852
第 122 条: 7498852 >> 18 ====> 28
第 123 条: 28 & 63 ====> 28
第 124 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 28 ] 结果: W
第 125 条: 7498852 >> 12 ====> 1830
第 126 条: 1830 & 63 ====> 38
第 127 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 38 ] 结果: o
第 128 条: 7498852 >> 6 ====> 117169
第 129 条: 117169 & 63 ====> 49
第 130 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 49 ] 结果: J
第 131 条: 7498852 & 63 ====> 36
第 132 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 36 ] 结果: L
第 133 条: 函数: [Function: apply] 调用者: [Function: t4] 参数: [ null, [ 114, 108, 100 ] ] 结果: [ 'W', 'o', 'J', 'L' ]
第 134 条: w4Xu+4SuKhUF + W ====> w4Xu+4SuKhUFW
第 135 条: w4Xu+4SuKhUFW + o ====> w4Xu+4SuKhUFWo
第 136 条: w4Xu+4SuKhUFWo + J ====> w4Xu+4SuKhUFWoJ
第 137 条: w4Xu+4SuKhUFWoJ + L ====> w4Xu+4SuKhUFWoJL
第 138 条: 9 + 3 ====> 12
第 139 条: 12 + 3 ====> 15
第 140 条: 函数: [Function: slice] 调用者: [72, 101, 108, 108, 111,44, 32, 87, 111, 114,108, 100, 33
] 参数: [ 12, 15 ] 结果: [ 33 ]
第 141 条: 函数: [Function: slice] 调用者: [ 33 ] 参数: [] 结果: [ 33 ]
第 142 条: 3 - 1 ====> 2
第 143 条: 函数: [Function: push] 调用者: [ 33, 0 ] 参数: [ 0 ] 结果: 2
第 144 条: 3 - 1 ====> 2
第 145 条: 函数: [Function: push] 调用者: [ 33, 0, 0 ] 参数: [ 0 ] 结果: 3
第 146 条: 3 - 1 ====> 2
第 147 条: 33 & 255 ====> 33
第 148 条: 0 & 255 ====> 0
第 149 条: 0 & 255 ====> 0
第 150 条: 33 << 16 ====> 2162688
第 151 条: 0 << 8 ====> 0
第 152 条: 2162688 | 0 ====> 2162688
第 153 条: 2162688 | 0 ====> 2162688
第 154 条: 2162688 >> 18 ====> 8
第 155 条: 8 & 63 ====> 8
第 156 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 8 ] 结果: K
第 157 条: 2162688 >> 12 ====> 528
第 158 条: 528 & 63 ====> 16
第 159 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 16 ] 结果: f
第 160 条: 2162688 >> 6 ====> 33792
第 161 条: 33792 & 63 ====> 0
第 162 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 0 ] 结果: D
第 163 条: 2162688 & 63 ====> 0
第 164 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 0 ] 结果: D
第 165 条: 函数: [Function: apply] 调用者: [Function: t4] 参数: [ null, [ 33, 0, 0 ] ] 结果: [ 'K', 'f', 'D', 'D' ]
第 166 条: w4Xu+4SuKhUFWoJL + K ====> w4Xu+4SuKhUFWoJLK
第 167 条: w4Xu+4SuKhUFWoJLK + f ====> w4Xu+4SuKhUFWoJLKf
第 168 条: w4Xu+4SuKhUFWoJLKf + = ====> w4Xu+4SuKhUFWoJLKf=
第 169 条: w4Xu+4SuKhUFWoJLKf= + = ====> w4Xu+4SuKhUFWoJLKf==
第 170 条: 12 + 3 ====> 15
第 171 条: 函数: [Function: t4] 调用者: Object [global] {'@faceless': <ref *1> Object [global] {global: [Circular *1],queueMicrotask: [Function: queueMicrotask],clearImmediate: [Function: clearImmediate],setImmediate: [Function: setImmediate] {[Symbol(nodejs.util.promisify.custom)]: [Getter]},structuredClone: [Getter/Setter],clearInterval: [Function: clearInterval],clearTimeout: [Function: clearTimeout],setInterval: [Function: setInterval],setTimeout: [Function: setTimeout] {[Symbol(nodejs.util.promisify.custom)]: [Getter]},atob: [Getter/Setter],btoa: [Getter/Setter],performance: [Getter/Setter],fetch: [AsyncFunction: fetch],window: [Circular *1]},arguments: undefined,optimizedBase64Encode: [Function: t4]
} 参数: [ 'Hello, World!' ] 结果: w4Xu+4SuKhUFWoJLKf==
w4Xu+4SuKhUFWoJLKf==
实战过程中,当看到 w4Xu+4SuKhUFWoJLKf== 这个字符后,看起来像是 base64 编码,所以通过 atob 尝试解码,得到 Ã\x85îû\x84®*\x15\x05Z\x82K),显然不对。
那分析日志吧!
第 29 条: 函数: [Function: slice] 调用者: [ 72, 101, 108 ] 参数: [] 结果: [ 72, 101, 108 ]
第 30 条: 3 - 3 ====> 0
第 31 条: 72 & 255 ====> 72
第 32 条: 101 & 255 ====> 101
第 33 条: 108 & 255 ====> 108
第 34 条: 72 << 16 ====> 4718592
第 35 条: 101 << 8 ====> 25856
第 36 条: 4718592 | 25856 ====> 4744448
第 37 条: 4744448 | 108 ====> 4744556
第 38 条: 4744556 >> 18 ====> 18
第 39 条: 18 & 63 ====> 18
第 40 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 18 ] 结果: w
第 41 条: 4744556 >> 12 ====> 1158
第 42 条: 1158 & 63 ====> 6
第 43 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 6 ] 结果: 4
第 44 条: 4744556 >> 6 ====> 74133
第 45 条: 74133 & 63 ====> 21
第 46 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 21 ] 结果: X
第 47 条: 4744556 & 63 ====> 44
第 48 条: 函数: [Function: charAt] 调用者: Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数: [ 44 ] 结果: u
看到这段日志,有什么发现吗?
上篇文章讲过,如果是 3 个字节值通过位运算得到一个 4 个字节值,即:72, 101, 108 ===> 18, 6, 21, 44
所以,我们判断,它大概是 标准base64或者变种 base64算法,由于我们验证过,它不是标准base64,所以它应该是变种base64。
那么,既然知道它大概是变种base64,那我们还需要一步一步去日志还原吗?
答案肯定不需要的。
我们只需要拿着 base64标准算法模板去改就行。俗称:套模板,大大节省我们的时间,而且也不容易出错!
标准 base64 算法模版:https://t.zsxq.com/sphu5
首先控制入参一样,即:Hello, World!。
分析日志发现,首先它把标准的 base64 算法,码表由 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 变成了 Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=。
其次是:
第 31 条: 72 & 255 ====> 72
第 32 条: 101 & 255 ====> 101
第 33 条: 108 & 255 ====> 108
每次位运算之前,都进行了 & 255 操作。
所以我们只需要微调代码,如下:
function processGroup(a, b, c) {a = a & 255; // 追加内容b = b & 255; // 追加内容c = c & 255; // 追加内容var combined = (a << 16) | (b << 8) | c;return [base64Chars.charAt((combined >> 18) & 63),base64Chars.charAt((combined >> 12) & 63),base64Chars.charAt((combined >> 6) & 63),base64Chars.charAt(combined & 63)];
}
最后,我们再验证一下,发现结果也是 w4Xu+4SuKhUFWoJLKf==,和日志结果一致,说明我们还原成功!
完整代码:https://t.zsxq.com/ROTc7
下一篇文章我们分析 RC4 jsvmp算法,学习它的日志特点。
