echo094
commented
9 months ago 我可以确定:
- 这不是原版obfuscator
- 用同样的方法经过了10层左右的嵌套混淆
不确定的是这种特征是否具有普遍性(或者说这个工具是否被公开使用)。
其实你稍微改一下现有的obfuscator插件就能够适配了。
Closed ghost closed 9 months ago
echo094
commented
9 months ago 我可以确定:
不确定的是这种特征是否具有普遍性(或者说这个工具是否被公开使用)。
其实你稍微改一下现有的obfuscator插件就能够适配了。
ghost
commented
9 months ago 还请大佬指点迷津
echo094
commented
9 months ago 这个例子的改进还是有点东西的:
ghost
commented
9 months ago 这样啊,大佬能不能简单的修改一下单独一个版本,我这边有部分这种类型的,不太方便发出来😂
------------------ 原始邮件 ------------------ 发件人: echo094 @.> 发送时间: 2024年2月25日 00:21 收件人: echo094/decode-js @.> 抄送: xiaodan01 @.>, Author @.> 主题: Re: [echo094/decode-js] other: 未知的obfuscator派系混淆 (Issue #74)
这个例子的改进还是有点东西的:
有几个string-array相关的变量名在全局不唯一,导致现有的插件在处理时出现异常(这个目前可以通过在开始阶段将变量重命名解决)。我现在也在思考更普适的解决方案(通过这个样本,我想到了几种新的混淆套路,能够大大增加还原的难度)。
修改了string-array相关函数的特征(针对其特征修改匹配方法即可)。但由于缺少混淆工具的信息,并不能知道其更新频率,因此现阶段不适合更新到obfuscator插件中。
— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you authored the thread.Message ID: @.***>
echo094
commented
9 months ago 那你先试试 obfuscator_variant 分支吧
ghost
commented
9 months ago 好的,感谢大佬
发自我的iPhone
------------------ 原始邮件 ------------------ 发件人: echo094 @.> 发送时间: 2024年2月25日 00:29 收件人: echo094/decode-js @.> 抄送: xiaodan01 @.>, Author @.> 主题: Re: [echo094/decode-js] other: 未知的obfuscator派系混淆 (Issue #74)
那你先试试 obfuscator_variant 分支吧
— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you authored the thread.Message ID: @.***>
ghost
commented
9 months ago 那你先试试 obfuscator_variant 分支吧
可以,这次数也太多了,反复解,目前可以用,感谢大佬深夜付出
https://note.ms/bgkq
Sent from PPHub