obfuscator: 未知变种 寻求来源后适配

[ghost]

https://note.ms/epso

_{Sent from PPHub}

[echo094]

这个样本有obfuscator的影子，但是从各方面看都不像是obfuscator某个版本分支的修改：

• 在复杂度上，obfuscator引入了针对局部作用域的嵌套形stringArrayScopeCallsWrapper，但该样本只存在全局的StringArrayCall
• 在细节上，对于StringArrayRotateFunction，obfuscator在第一个提交就是用的WhileStatement（UnicodeArrayRotateFunctionTemplate），但样本中用的ForStatement

在已有的obfuscator插件中适配这个样本不太现实。

[ghost]

有点复杂了

发自我的iPhone

------------------ 原始邮件 ------------------ 发件人: echo094 @.> 发送时间: 2024年6月8日 12:50 收件人: echo094/decode-js @.> 抄送: xiaodan01 @.>, Author @.> 主题: Re: [echo094/decode-js] 看起来像ob类型的，但是解不了 (Issue #96)

[ghost]

佬这个样本呢，https://note.ms/ysvn

[echo094]

佬这个样本呢，https://note.ms/ysvn

这个和第一个有点类似，在结构上稍微有点区别，倒是和 #98 的差不多（主要的混淆逻辑基本一致）

[echo094]

可以找找最近是不是出了新的代码混淆工具

[ghost]

感觉之前就见过这种类型，印象中不太像是最近出的，我找找看吧

发自我的iPhone

------------------ 原始邮件 ------------------ 发件人: echo094 @.> 发送时间: 2024年6月14日 22:49 收件人: echo094/decode-js @.> 抄送: xiaodan01 @.>, Author @.> 主题: Re: [echo094/decode-js] 看起来像ob类型的，但是解不了 (Issue #96)

可以找找最近是不是出了新的代码混淆工具

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you authored the thread.Message ID: @.***>

[echo094]

这几个issue中的代码大部分是同一个作者，应该是他自用的混淆工具

增加索引

Env("酷我音乐");

NAME = "中国联通";
VALY = ["zgltck"];
VER = "1.1.6";
CK = "";
LOGS = 0;
usid = 0;
Notify = 1;
let helloword_0x5c6195 = require("fs");
let helloword_0x1a9fab = require("uuid").v4;
DCFHOST = process.env.DCFHOST;
dcfkey = encodeURIComponent(process.env.dcfkey);
IP = "";
IPCITY = "";

[ghost]

这几个issue中的代码大部分是同一个作者，应该是他自用的混淆工具

我下载了最新的代码，好像还是解不开

[echo094]

我下载了最新的代码，好像还是解不开

因为没有适配呢，这种私有混淆工具，你跟不上他的更新速度