AST还原混淆:手把手教你用Python爬虫逆向京东MMAPI签名算法
如果你是一个爬虫开发者,你一定会遇到这样的场景:打开浏览器的开发者工具,看着网络请求里那些整整齐齐的参数,你以为自己找到了宝藏。然后你高高兴兴地写好了requests代码,一运行,服务器给你返回了一个401或者403。你重新打开开发者工具,仔细看请求,发现了sign、token、_st这些让你血压升高的字段。
没错,你被混淆了。
更准确地说,你被JavaScript混淆技术给“教育”了。那些本来逻辑清晰的签名生成代码,被工具变成了只有上帝才能看懂的字符串数组、位移运算和乱码函数名。
这篇文章,我会带你从一个真实的案例出发——京东MMAPI的签名算法还原,使用AST(抽象语法树)技术来还原混淆后的JavaScript代码。这不是一篇理论文章,我会给出每一行可以运行的代码,告诉你每一步为什么这么做。
读完这篇文章,你会掌握:
什么是JavaScript混淆,常见的混淆手法
AST是什么,为什么它能帮我们还原混淆
如何使用Python +
pyjsparser+jsbeautifier+ 自定义AST遍历器来还原代码一个完整的京东商品搜索签名算法逆向实战
如何把还原后的逻辑用Python重新实现
目录
第一章:先认清你的敌人——JavaScript混淆手段大赏
1.1 为什么会有混淆
1.2 最常见的五种混淆手法
1.3 常规逆向方法的痛点
第二章:AST到底是什么(用你能听懂的话)
2.1 从编译原理聊起
2.2 AST工具链选型
2.3 第一个AST遍历器:打印所有函数名
第三章:实战准备——获取京东MMAPI的混淆代码
3.1 目标确认
3.2 定位签名生成代码
3.3 把目标代码抠出来
第四章:AST还原第一式——还原字符串数组
4.1 识别字符串数组模式
4.2 静态分析提取数组
4.3 进阶:处理动态生成的字符串数组
第五章:AST还原第二式——还原控制流平坦化
5.1 什么是控制流平坦化
5.2 还原思路
5.3 还原代码实现
第六章:AST还原第三式——删除死代码与合并变量
6.1 识别死代码
6.2 常量折叠与传播
第七章:完整流程——将京东签名代码完全还原
7.1 整合所有还原步骤
7.2 人工分析还原后的代码
7.3 用Python复现签名算法
第一章:先认清你的敌人——JavaScript混淆手段大赏
1.1 为什么会有混淆
商业公司的前端代码是运行在用户浏览器里的,理论上任何人都能看见。为了防止爬虫工程师轻易分析出接口的加密逻辑,也为了防止竞争对手直接复制代码,前端工程师会用各种工具把代码变得极其难以阅读。
你可能会问:这不就是“防君子不防小人”吗?对,但就是这道门槛,挡住了90%的爬虫新手。