1. 项目概述当JS逆向遇上AI辅助最近在圈子里猿人学平台的题目又成了大家讨论的热点。第三届第二题一个典型的jsvmpJavaScript Virtual Machine Protection加密参数逆向让不少朋友直呼“头大”。传统的逆向分析面对这种混淆程度极高的代码往往需要投入大量的时间和精力去跟栈、下断点、分析虚拟指令集。但这次我想尝试点不一样的借助AI工具来辅助完成整个逆向过程。这不仅仅是“用AI写代码”而是将AI作为一个强大的分析伙伴帮助我们理解混淆逻辑、定位关键函数、甚至生成部分解密代码。对于从事爬虫、安全研究或者对前端加密感兴趣的朋友来说掌握这种“人机协同”的逆向思路或许能打开一扇新的大门。本文将详细记录我使用AI工具以Cursor、ChatGPT等为例辅助逆向猿人学第二题jsvmp加密参数的全过程从环境准备、思路分析到最终参数生成分享其中的技巧与踩过的坑。2. 核心思路与工具选型人脑主导AI辅助面对一个被虚拟机保护的JavaScript加密函数最核心的矛盾在于代码的可读性被极大破坏但程序的执行逻辑依然存在。我们的目标不是手动还原出所有清晰的原码而是理解其加密参数的生成机制。AI工具在这里可以扮演几个关键角色代码解释器、逻辑推理助手和代码生成器。2.1 为什么选择AI辅助传统的逆向流程是“静态分析动态调试”。静态分析看混淆代码如同天书动态调试则需要反复跟栈效率较低。AI模型特别是经过大量代码训练的大语言模型具备一定的代码理解、摘要和生成能力。它可以解释晦涩的代码段将一段高度混淆的JS代码喂给AI它可以尝试用人类语言描述这段代码在“做什么”比如“这是一个数组位移操作”或“这里进行了一次异或运算”。辅助逻辑推理当我们通过动态调试截获了某个关键函数的输入输出时可以请AI根据这些样本推测其内部可能的算法结构。生成代码片段在理清部分逻辑后可以让AI根据我们的描述生成对应的Python或JavaScript实现代码节省手动编码时间。但必须明确AI是辅助不是主体。它无法替代逆向工程师对JavaScript执行机制、浏览器环境、加密算法基础知识的掌握。最终的逻辑判断、关键点定位和方案验证必须由人脑完成。2.2 工具链准备工欲善其事必先利其器。以下是本次实战用到的核心工具链浏览器与开发者工具Chrome DevTools这是基石。用于运行目标页面、下断点、查看网络请求、监控堆栈调用。Node.js 环境用于在本地执行剥离出来的JavaScript代码片段进行算法验证和模拟。代码编辑器/IDE我主要使用Cursor。它内置了强大的AI能力基于GPT-4支持在编辑器内直接对选中的代码进行提问、解释、重构甚至生成交互体验非常流畅是本次辅助分析的主力。备用选择可以是安装了Copilot或相关AI插件的VS Code。通用大语言模型对话工具如ChatGPT、Claude等。用于处理一些更复杂的逻辑推理和方案咨询。可以将调试中截获的代码片段、堆栈信息或自己的分析思路发送给它寻求解读和建议。Python 环境Requests, PyExecJS等最终生成加密参数并完成网络请求验证。PyExecJS可以让我们在Python中执行JavaScript代码。注意AI工具的选择很多核心是选择一个你熟悉且交互方便的。Cursor的优势在于与编辑器的深度集成避免了频繁的复制粘贴。3. 逆向实战第一步定位与初步分析拿到题目第一步永远是“跑起来看”。打开题目页面通过浏览器开发者工具的Network面板监控提交请求。很快就能发现关键的请求参数比如token、sign等具体参数名需以实际题目为准是经过加密的并且每次刷新都会变化。3.1 关键加密入口的定位在Network中找到携带加密参数的请求右键点击选择“Copy - Copy as cURL”或直接查看其Initiator发起者栈。通常在栈里能看到一个明显的JavaScript文件文件名可能包含challenge、index或一串数字这就是主要的加密逻辑所在。点击进入这个JS文件扑面而来的就是严重的代码混淆变量名都是_0xabc123这种格式代码结构被控制流平坦化打乱整体被一个巨大的自执行函数包裹。这就是jsvmp的典型特征——将原始代码编译成自定义的字节码由一个虚拟机解释执行。此时不要试图直接阅读整个文件。我们的策略是“动态切入静态辅助”。下XHR断点在开发者工具的Sources面板找到XHR/Fetch Breakpoints添加一个包含关键请求URL片段的断点。当页面发起该请求时代码执行会自动暂停。调用栈分析代码暂停后查看右侧的Call Stack调用栈。从栈顶往下找找到第一个属于我们刚才看到的那个混淆JS文件的栈帧点击进入。此时我们就来到了加密参数生成前的最后一道JavaScript逻辑处。3.2 使用AI进行初步代码摘要现在我们停留在一个高度混淆的函数上下文中。可以将当前函数体或附近的一小段关键逻辑的代码复制出来。打开Cursor新建一个文件将代码粘贴进去。然后选中这段代码使用快捷键通常是Cmd/Ctrl K唤起AI指令。输入提示词“请用简单的中文解释这段JavaScript代码可能的功能。它看起来是混淆过的重点告诉我它进行了哪些操作比如数组操作、字符串处理、数学计算等。”AI可能会返回类似这样的分析“这段代码定义了一个函数内部包含一个switch语句根据变量_0x12a34b的值跳转到不同的代码块。观察到有对数组_0x56c789的访问和修改涉及shift、push操作还有一些位运算如^异或和与。整体结构像一个解释器或状态机可能在处理一组指令。”这个解释虽然模糊但验证了我们的猜想——这确实是虚拟机调度逻辑的一部分。它告诉了我们操作的数据结构数组和运算类型位运算为后续分析提供了方向。4. 核心逻辑追踪与AI辅助推理定位到加密调用点只是开始。接下来需要向上追溯找到生成最终加密参数的“主逻辑”或“入口函数”。4.1 追踪参数来源在当前的断点处查看生成加密参数的变量值。使用Console面板尝试打印这个变量的值并查看它是由哪个函数计算返回的。在Call Stack中逐步向上一个栈帧跳转同时观察每一步的局部变量和作用域变化。这个过程非常依赖手动调试但AI可以辅助我们理解每一步遇到的代码块。例如当跳转到一个充满case语句的巨大switch块时可以将这个switch块的部分case代码发送给AI。给AI的提示词可以更具体“以下是一个JavaScript switch-case 代码块的一部分。变量_0x12a34b看起来是操作码。请帮我分析当_0x12a34b为0x1、0x2、0x3时对应的代码块分别执行了什么操作用操作码描述的格式列出。”通过这种方式我们可以慢慢拼凑出这个虚拟机的指令集。比如0x1: 从栈中弹出两个数相加结果压入栈。0x2: 从栈中弹出一个数与某个固定密钥进行异或结果压入栈。0x3: 从内存数组中加载一个常量压入栈。4.2 构建执行流快照单纯看代码是困难的。一个更有效的方法是“录制”一次完整的加密调用。在加密开始前比如在调用栈最顶层的函数入口打上断点然后单步执行F10但不步入F11每一个函数。同时记录下关键变量的变化特别是那些作为最终参数“原料”的初始值。可以将这些观察到的“输入-输出”对整理成表格连同它们出现位置的代码片段一起交给AI进行推理。示例提示词“我正在分析一个JavaScript加密函数。我观察到以下现象当输入字符串为‘page1’时经过一系列操作最终输出是一个16位的十六进制字符串‘a1b2c3d4e5f67890’。中间我记录到几个关键步骤1. 字符串被转换成了UTF-8字节数组。2. 字节数组与一个固定数组[0x12, 0x34, 0x56]进行了循环异或。3. 结果数组进行了MD5哈希。请你根据这些信息推测完整的加密流程并给出一个可能的JavaScript函数伪代码。”AI基于常见的加密模式可能会推测出一个完整的流程甚至直接生成一个可测试的伪代码函数。这极大地加速了我们的假设形成过程。4.3 识别加密算法特征在追踪过程中你可能会看到一些特征性的常数或操作。例如看到0x67452301,0xEFCDAB89,0x98BADCFE,0x10325476等常数很可能是MD5或SHA1。看到大量的查表操作S-box和轮函数结构可能是AES或DES。看到0x9e3779b9这个常数可能是TEA系列算法。将这些特征常数或代码模式单独拎出来询问AI“在JavaScript加密中以下常数数组通常与哪种算法相关” 或 “这段循环结构看起来像哪种加密算法的轮运算”AI可以快速将这些特征与已知算法库如CryptoJS的实现进行比对给出高概率的猜测。5. 算法还原与代码生成通过动态追踪和AI辅助推理我们对加密流程有了一个假设性的理解。接下来就是验证和还原。5.1 提取关键代码片段我们不需要还原整个虚拟机。我们的目标是找到生成最终参数的那一小段核心算法逻辑并将其从虚拟机环境中“剥离”出来。在动态调试中当执行到核心计算步骤比如哈希函数的主循环、或自定义的变换函数时仔细查看这段代码。虽然被混淆但其运算的“骨架”可能还在。尝试将这一小段函数体及其依赖的少量全局变量或数组完整地复制出来。5.2 使用AI进行代码去混淆与重构将这一小段高度混淆的代码粘贴到Cursor中。我们可以命令AI进行重构。分步提示词示例重命名变量“请将这段代码中的变量名_0x12a34b、_0x56c789等根据它们的用途重命名为有意义的名称例如opcode、memoryPool。”简化控制流“这段代码中的switch-case和多个if分支能否将其逻辑合并用更清晰的if-else或直接运算表达式表示”解释并转译“请将这段完成特定计算例如对输入数组进行一轮变换的JavaScript代码转换成功能完全相同的Python函数。”AI会尝试执行这些任务。虽然结果不一定完全正确但能产出一个可读性高得多的版本。我们需要将这个版本与动态调试中观察到的输入输出进行比对测试。5.3 构建本地测试环境在Node.js中新建一个测试文件。将AI帮助重构后的“核心函数”放入同时需要将动态调试中捕获的“初始状态”也还原出来。这包括虚拟机初始化时的内存数组、常量表、操作栈等。这个过程就像拼图。你可能需要多次在浏览器调试环境和本地Node.js环境之间切换反复调整从混淆代码中剥离出来的片段直到本地代码能够复现出与浏览器完全一致的加密结果。一个实用的技巧在浏览器控制台中在加密函数执行前将关键的内存状态如那个巨大的常量数组通过JSON.stringify()打印出来然后直接在Node.js代码中硬编码这个数组。这样可以确保执行环境的基础数据一致。6. 完整实现与参数生成当本地测试代码能够稳定生成正确的加密参数后最后一步就是将其整合成一个完整的、可用的脚本。6.1 封装为独立函数将验证通过的算法逻辑封装成一个清晰的JavaScript函数例如function generateToken(page, t)。确保它只依赖于传入的参数和内部定义的常量不依赖浏览器特有的对象如window、document。6.2 使用PyExecJS在Python中调用虽然可以用Node.js直接执行但在Python爬虫环境中集成更为常见。使用PyExecJS库可以方便地做到这一点。import execjs import requests # 1. 读取我们还原出来的JS代码 with open(猿人学第二题_算法还原.js, r, encodingutf-8) as f: js_code f.read() # 2. 创建JS执行环境 ctx execjs.compile(js_code) # 3. 调用函数生成参数 page 1 # 通常还需要一个时间戳或其他变量具体看题目要求 t int(time.time() * 1000) encrypted_param ctx.call(generateToken, page, t) print(f生成的加密参数为: {encrypted_param}) # 4. 构造请求 headers { User-Agent: Mozilla/5.0..., # 其他必要的请求头 } data { page: page, token: encrypted_param, # 参数名根据实际情况修改 # ... 其他参数 } response requests.post(https://目标网站/api/challenge, headersheaders, datadata) print(response.json())6.3 处理环境补全问题有时还原的JS代码会依赖一些浏览器环境中的内置函数或非常隐晦的全局变量。在Node.js或PyExecJS中运行时可能会报错“xxx is not defined”。解决方案定位缺失对象根据错误信息找到缺失的变量或函数名。溯源其定义回到浏览器源码中全局搜索这个变量名看它是在哪里定义的。通常它可能是另一个混淆函数的结果或者是一个简单的常量。模拟实现将其定义或实现也剥离出来加入到我们的本地JS代码中。如果它是一个复杂的函数可以再次请AI辅助分析其简化后的功能并用纯JavaScript实现一个等效版本。使用Polyfill如果是标准的Web API如btoa,atobNode.js环境可能没有需要手动用Buffer实现并注入到执行上下文。7. 常见问题与避坑指南在整个逆向和AI辅助过程中会遇到很多典型问题。这里记录一些核心的避坑点。7.1 AI分析不准或“幻觉”问题AI毕竟不是专为逆向工程设计的它可能会“一本正经地胡说八道”给出错误的分析或生成无法运行的代码。应对策略交叉验证对于AI给出的任何结论尤其是算法猜测和代码转换必须用动态调试捕获的真实数据输入/输出进行严格验证。分而治之不要一次性让AI分析一大段代码。将问题拆解成小块例如“解释这个三行循环”、“这个位运算的结果是什么”降低AI出错的概率。提供上下文在提问时尽量提供更多的上下文信息比如“这段代码是某个加密函数的一部分它接收一个数字数组”这能引导AI给出更相关的答案。以我为主始终牢记AI的输出是“参考”和“草案”最终的逻辑判断和代码正确性必须由你亲自把控和测试。7.2 虚拟机指令流跟踪困难jsvmp的核心是字节码和调度器。手动跟踪指令流极其耗时。技巧关键点断点不要跟踪所有指令。只在涉及“外部输入”如参数、“最终输出”以及你认为的核心运算如哈希函数调用点处下条件断点。日志注入如果条件允许可以尝试在浏览器控制台中重写Array.prototype.push或相关方法让它们在执行时打印日志从而记录虚拟机的操作栈变化。但这需要对代码有一定侵入性且可能被反调试检测。关注数据流而非控制流我们的目标是参数如何被计算出来。因此紧盯住那个最终被返回的变量看它在整个执行过程中是如何被一步步赋值和修改的比理清所有case跳转更重要。7.3 还原代码在本地运行结果不一致这是最常遇到的问题原因多种多样。排查清单环境差异浏览器中的JavaScript是V8引擎PyExecJS可能用的是Node.js或其它引擎对于某些边界行为如位运算对负数的处理、浮点数精度可能有细微差别。确保使用Math.floor等函数明确处理数值。依赖状态未捕获你的还原代码可能依赖一个在虚拟机初始化时生成的、动态变化的全局状态比如一个随机种子生成的数组。确保这个初始状态在你的本地代码中被完整复现。最可靠的方法在浏览器中于加密函数执行前一刻将整个你认为相关的全局对象或内存数组用console.log(JSON.stringify(myGlobalObj))打印出来然后硬编码到本地代码中。编码问题字符串到字节数组的转换UTF-8, UTF-16必须完全一致。在JavaScript和Python中指定相同的编码方式。时间戳等动态参数确保你本地生成的t等动态参数与浏览器生成时的逻辑一致比如都是13位毫秒时间戳。7.4 反调试与代码动态变异一些高级的题目会检测开发者工具或者代码每次加载都动态变化。应对方法使用无头浏览器或自动化工具如Puppeteer可以在无界面模式下运行并提取加密逻辑避免触发基于UI的检测。寻找不变的核心无论外层混淆如何变核心的加密算法如MD5的压缩函数的运算逻辑是固定的。通过多次刷新页面对比网络请求中的加密结果和参数如果相同输入产生相同输出说明动态部分不影响核心算法。我们的目标就是剥离出这个“不变的核心”。代码快照在页面加载完成、但反调试代码未触发前这需要技巧通过copy(函数名)等方式尝试直接获取函数的字符串定义。逆向工程尤其是jsvmp的逆向是一个耐心和细心的活。AI工具的加入就像拥有了一位不知疲倦、知识渊博的助手它能帮你快速解读晦涩的代码片段、生成测试用例、甚至提供算法思路。但它无法替代你的核心判断和系统性思维。这次猿人学第二题的实战正是一次成功的“人机协同”。最终还原出的算法可能只有几十行清晰的代码但找到这几十行的过程才是逆向真正的价值所在。当你看到本地Python脚本成功生成与服务端验证通过的加密参数时那种成就感是任何工具都无法直接给予的。希望这份结合了AI辅助的实战记录能为你下次面对类似挑战时提供一条新的解题路径。