other: 未知的obfuscator派系混淆
xiaodan01 opened this issue · 7 comments
echo094 commented
我可以确定:
- 这不是原版obfuscator
- 用同样的方法经过了10层左右的嵌套混淆
不确定的是这种特征是否具有普遍性(或者说这个工具是否被公开使用)。
其实你稍微改一下现有的obfuscator插件就能够适配了。
xiaodan01 commented
还请大佬指点迷津
echo094 commented
这个例子的改进还是有点东西的:
- 有几个string-array相关的变量名在全局不唯一,导致现有的插件在处理时出现异常(这个目前可以通过在开始阶段将变量重命名解决)。我现在也在思考更普适的解决方案(通过这个样本,我想到了几种新的混淆套路,能够大大增加还原的难度)。
- 修改了string-array相关函数的特征(针对其特征修改匹配方法即可)。但由于缺少混淆工具的信息,并不能知道其更新频率,因此现阶段不适合更新到obfuscator插件中。
xiaodan01 commented
这样啊,大佬能不能简单的修改一下单独一个版本,我这边有部分这种类型的,不太方便发出来😂
…------------------ 原始邮件 ------------------
发件人: echo094 ***@***.***>
发送时间: 2024年2月25日 00:21
收件人: echo094/decode-js ***@***.***>
抄送: xiaodan01 ***@***.***>, Author ***@***.***>
主题: Re: [echo094/decode-js] other: 未知的obfuscator派系混淆 (Issue #74)
这个例子的改进还是有点东西的:
有几个string-array相关的变量名在全局不唯一,导致现有的插件在处理时出现异常(这个目前可以通过在开始阶段将变量重命名解决)。我现在也在思考更普适的解决方案(通过这个样本,我想到了几种新的混淆套路,能够大大增加还原的难度)。
修改了string-array相关函数的特征(针对其特征修改匹配方法即可)。但由于缺少混淆工具的信息,并不能知道其更新频率,因此现阶段不适合更新到obfuscator插件中。
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you authored the thread.Message ID: ***@***.***>
echo094 commented
那你先试试 obfuscator_variant 分支吧
xiaodan01 commented
好的,感谢大佬
发自我的iPhone
…------------------ 原始邮件 ------------------
发件人: echo094 ***@***.***>
发送时间: 2024年2月25日 00:29
收件人: echo094/decode-js ***@***.***>
抄送: xiaodan01 ***@***.***>, Author ***@***.***>
主题: Re: [echo094/decode-js] other: 未知的obfuscator派系混淆 (Issue #74)
那你先试试 obfuscator_variant 分支吧
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you authored the thread.Message ID: ***@***.***>
xiaodan01 commented
那你先试试 obfuscator_variant 分支吧
可以,这次数也太多了,反复解,目前可以用,感谢大佬深夜付出