关注它，不迷路。

本文章中所有内容仅供学习交流，不可用于任何商业用途和非法用途，否则后果自负，如有侵权，请联系作者立即删除！

1. 需求分析

曾经在某大型网站的参数核心加密代码中全都是类似下面的代码:

var _2$SS = function(_SSz, _1111) {var _l1L1 = [46222, '\x74\x61\x43\x61\x70\x74\x63\x68\x61\x42\x6c\x6f\x62', '\x74', '\x61', '\x73', '\x6c', '\x64', '\x69', .3834417654519915, '\x65\x6e\x63\x72\x79\x70\x74\x4a', '\x73\x6f', '\x6e', 49344];var _2Szs = _l1L1[5] + _l1L1[7] + (_l1L1[4] + _l1L1[2]), _I1il1 = _l1L1[9] + (_l1L1[10] + _l1L1[11]);var _0ooQoO = _l1L1[0];var _$Z22 = _l1L1[12], _2sS2 = _l1L1[8];return _l1L1[6] + _l1L1[3] + _l1L1[1];
};

将字面量拆分，然后放在一个数组里面。当时还不会AST，用正则的方式来替换，为了还原这个代码，前前后后写了将近一个星期的代码，因为正则写的不好，总会有遗漏的地方。

现在学会了AST，不到10分钟就可以全部还原，掌握一门技能是真的非常的重要。

2. 混淆代码

还原前:

var _2$SS = function(_SSz, _1111) {var _l1L1 = [46222, '\x74\x61\x43\x61\x70\x74\x63\x68\x61\x42\x6c\x6f\x62', '\x74', '\x61', '\x73', '\x6c', '\x64', '\x69', .3834417654519915, '\x65\x6e\x63\x72\x79\x70\x74\x4a', '\x73\x6f', '\x6e', 49344];var _2Szs = _l1L1[5] + _l1L1[7] + (_l1L1[4] + _l1L1[2]), _I1il1 = _l1L1[9] + (_l1L1[10] + _l1L1[11]);var _0ooQoO = _l1L1[0];var _$Z22 = _l1L1[12], _2sS2 = _l1L1[8];return _l1L1[6] + _l1L1[3] + _l1L1[1];
};

还原后:

var _2$SS = function (_SSz, _1111) {var _2Szs = '\x6c' + '\x69' + ('\x73' + '\x74'),_I1il1 = '\x65\x6e\x63\x72\x79\x70\x74\x4a' + ('\x73\x6f' + '\x6e');var _0ooQoO = 46222;var _$Z22 = 49344,_2sS2 = .3834417654519915;return '\x64' + '\x61' + '\x74\x61\x43\x61\x70\x74\x63\x68\x61\x42\x6c\x6f\x62';
};

3. 思路

来看看如何将这个这些注释删除。拿到在线解析网站进行解析,发现所有的注释都在这里:

将Array对象还原需要满足如下条件:

1. Array对象里面的元素(最好)都是字面量

2. 定义Array对象的变量没有被改变

编写思路:

• 大部分Array对象都是通过 var、let、const 来定义的。因此，需要遍历 VariableDeclarator 节点，如果其初始化是赋值语句，即没有使用 var 定义，则可以将赋值语句先变成 声明语句(VariableDeclaration)。

• 通过scope.getBinding来获取引用该Array对象的地方。

• 因为Array对象取值一般都是MemberExpression表达式，因此找出它的MemberExpression父节点。

• 判断父节点的property是否为(全部为)字面量(一般为数字，即索引值)。

• 通过索引值取出对应的Array对象，然后替换这个父节点即可。

4. 插件源码

https://t.zsxq.com/07IufqJqr

今天的文章就分享到这里，后续分享更多的技巧，敬请期待。