1. 项目概述当JS逆向遇上AI辅助最近在圈子里猿人学第三届的题目又被翻出来讨论了特别是第二题那个jsvmp的加密参数不少朋友卡在了这里。这题确实有点意思它不像传统的混淆给你一堆eval或者字符串数组打乱而是直接上了虚拟机保护Virtual Machine Protection也就是我们常说的VMP。传统的AST抽象语法树还原、扣代码补环境那一套在这里会显得有点力不从心。但题目既然叫“JS逆向实战”那核心还是逆向只不过这次我们手里多了一个新工具AI。这个项目就是记录我如何结合传统逆向思路与AI的辅助能力一步步拆解这个jsvmp最终定位并模拟出关键加密参数的全过程。整个过程更像是一场人机协作的侦探游戏AI负责处理海量的、重复性的模式识别和逻辑推理而我作为“指挥官”负责制定策略、验证结果和解决AI也搞不定的“灵魂”问题。这不仅仅是一个解题记录更是一次对“AI赋能逆向工程”工作流的深度探索。适合谁呢如果你已经对JS逆向有基础了解知道常见的混淆手段和调试方法但对VMP感到棘手或者想了解如何将大语言模型LLM这类AI工具融入你的逆向工作流提升效率那么这篇内容应该能给你带来不少启发。我们将从最原始的混淆代码开始到最终成功构造出可用的加密参数把每一步的思考、尝试、失败和成功都摊开来讲。2. 核心思路与工具选型为什么是“AI辅助”而非“AI全自动”面对一个被VMP保护的JS代码第一反应往往是头疼。VMP的核心思想是将原始的JavaScript字节码或类似中间表示映射到一套自定义的指令集和虚拟机环境中执行从而隐藏真实的执行逻辑。直接阅读经过VMP处理后的代码就像在看天书全是opcode操作码的分发、栈操作和寄存器管理。2.1 传统逆向方法的瓶颈在AI工具普及之前逆向这类保护通常有几种路径动态调试追踪通过浏览器开发者工具下断点单步跟蹤每一步操作手动记录栈、寄存器的变化试图反推出原始算法。这种方法最直接但极其耗时对于复杂的VMP跟蹤几千甚至几万步操作是常态且容易跟丢。补环境扣代码如果目标只是调用其加密函数可以尝试将整个VMP执行环境包括其自定义的栈、指令解释器扣出来在Node.js等环境中运行。这需要对VMP结构有很深的理解且扣取过程容易因环境差异导致失败。算法还原通过大量输入输出对尝试猜测其加密算法如是否是标准AES、RSA或是自定义的变换。这对VMP保护下的黑盒函数有时有效但如果是复杂的、与上下文强相关的逻辑则很难猜中。这些方法要么对个人精力消耗巨大要么成功率不稳定。而本题目的难点在于加密参数的计算过程完全被包裹在VMP中你需要理解那段被虚拟化了的逻辑。2.2 AI辅助逆向的破局点这里引入的“AI逆向”特指利用大语言模型如GPT-4、Claude-3、DeepSeek等的代码理解、逻辑推理和文本生成能力作为辅助工具而非指望它一键解出答案。我的核心思路是将人类擅长的宏观策略制定、关键点判断与AI擅长的大规模文本分析、模式匹配、代码翻译和假设生成结合起来。具体到工具选型我主要使用了以下组合ChatGPT-4/Claude-3 Sonnet用于高阶逻辑分析、代码解释、生成探索性代码片段。例如我可以把一段VMP的dispatcher指令分发器代码扔给它问“这段代码看起来是一个虚拟机的主循环你能根据这些switch-case语句为我推测出它可能定义了哪些指令吗”本地代码编辑器VSCode与调试器Chrome DevTools这是主战场。所有动态验证、断点调试都在这里进行。Node.js用于运行我们初步还原或模拟的代码片段快速验证其正确性。为什么不全权交给AI因为当前的AI还不具备真正的“理解”和“调试”能力。它可能会产生看似合理但实际错误的代码幻觉也可能无法理解运行时数据的微妙变化。因此我的角色是“引导者”和“验证者”用AI来放大我的分析能力而不是替代我。3. 逆向实战第一步环境搭建与初步侦察任何逆向工作开始前都得先把战场布置好。对于Web端的JS逆向一个干净、可控的调试环境至关重要。3.1 准备调试环境我选择使用Chrome浏览器的无痕模式并配置开发者工具。打开无痕窗口CtrlShiftN这能避免浏览器扩展插件对JS执行环境的干扰。打开开发者工具F12立即切换到Sources源代码面板。一个关键设置在Settings-Preferences-Network部分勾选“Disable cache (while DevTools is open)”。这能确保每次刷新都能拿到最新的代码避免缓存导致你调试的是旧版本。另一个关键设置在Settings-Experiments中可以启用“JavaScript source maps”如果目标网站提供了的话虽然本题大概率没有。然后访问目标题目页面。通常这类题目会有一个输入框和一个提交按钮点击提交后会触发加密参数的生成并发送请求。我们的首要目标不是点击提交而是找到负责生成加密参数的JavaScript文件。3.2 定位关键代码与识别VMP在页面加载完成后在Sources面板的Page标签下你会看到加载的所有资源。对于这类题目核心的加密JS往往不是一眼就能看到的main.js而是可能被动态加载或隐藏在某个命名独特的文件里。技巧一使用“Search”功能全局搜索关键词。在开发者工具中按CtrlShiftF打开全局搜索。尝试搜索一些可能的关键词比如题目中可能出现的encrypt、sign、param、token或者请求参数名。本题中通过搜索加密参数名比如可能是t、signature等我很快定位到了一个体积较大、代码结构异常的文件。技巧二识别VMP的代码特征。打开这个文件如果看到代码是类似下面这样的结构那基本就八九不离十了var _0xabc123 [/* 一个巨大的数组里面是各种字符串或数字 */]; function _0xdef456(_0xparam1, _0xparam2) { var _0xstack []; var _0xregisters {}; var _0xip 0; // 指令指针 var _0xopcodes _0xabc123[0]; // 假设操作码表在数组第一个位置 while (_0xip _0xopcodes.length) { var _0xopcode _0xopcodes[_0xip]; switch (_0xopcode) { case 0x01: // 比如压栈指令 _0xstack.push(_0xabc123[_0xopcodes[_0xip]]); break; case 0x02: // 算术运算 var _0xb _0xstack.pop(); var _0xa _0xstack.pop(); _0xstack.push(_0xa _0xb); break; case 0x03: // 函数调用 // ... 复杂的调用逻辑 break; // ... 几十甚至上百个case } } return _0xstack.pop(); }这段代码是一个极度简化的VMP示例。真实情况的_0xabc123数组会非常庞大包含字符串常量、数字常量、函数引用等。switch-case块就是指令分发器每个case对应一条虚拟机指令。我们的目标就是理解这个自定义指令集到底在执行什么逻辑。在定位到这样的文件后我做的第一件事不是硬读而是将其完整代码复制出来保存为一个本地文件比如vm_protected.js。这是后续所有静态分析和AI交互的基础。4. 静态分析与AI辅助解码化繁为简拿着这坨“天书”般的代码直接阅读效率极低。这时AI就可以上场了。4.1 第一步让AI进行初步的“代码摘要”我将整个vm_protected.js文件可能几千行粘贴给ChatGPT并给出明确的指令“这是一段经过虚拟机保护VMP的JavaScript代码。请帮我分析它的整体结构。重点关注1. 是否存在一个大的常量数组通常用于存储字符串、数字或函数2. 核心的执行函数是哪个它是否包含一个大的switch或if-else链作为指令分发器3. 代码中是否有明显的初始化部分比如设置栈、寄存器、指令指针”AI很快给了我回复它准确地指出了常量数组_0x12acf名称可能不同的存在并定位到了名为_0x3f9c的核心函数其中包含一个庞大的switch语句。它还提取出了switch中前20个case的大致操作比如case 0:通常是NOP空操作case 1:涉及从常量数组加载值到栈等。这个摘要让我瞬间对代码结构有了宏观认识节省了大量人工梳理的时间。4.2 第二步指令集推测与注释生成接下来是更细粒度的分析。我选取包含核心switch分发器的函数代码块大约几百行再次交给AI。“这是虚拟机的指令分发器。请根据每个case下的代码逻辑为我推测并给每个case编号如case 0x5:添加一个简短的注释说明这条指令可能的功能例如PUSH_CONST,ADD,CALL_FUNCTION。注意观察它对栈_0xstack、寄存器_0xregs和指令指针_0xip的操作。”AI开始工作输出类似这样的结果switch (_0xopcode) { case 0x1: // PUSH_CONST: 从常量数组取值并压栈 _0xstack.push(_0x12acf[_0xopcodes[_0xip]]); break; case 0x2: // POP_STORE: 弹出栈顶值存储到寄存器 _0xregs[_0xopcodes[_0xip]] _0xstack.pop(); break; case 0x3: // LOAD_REG: 从寄存器加载值到栈 _0xstack.push(_0xregs[_0xopcodes[_0xip]]); break; case 0x4: // ADD: 弹出栈顶两个值相加结果压栈 var _0xb _0xstack.pop(); var _0xa _0xstack.pop(); _0xstack.push(_0xa _0xb); break; // ... 更多case }注意AI的注释是“推测”不一定100%准确但它提供了一个极佳的起点。我根据这些注释再结合自己的理解进行修正和确认。这个过程相当于AI帮我完成了初稿的“反汇编”和“注释”我只需要进行复审和修正。4.3 第三步关键常量数组的解析VMP中的常量数组_0x12acf是理解程序逻辑的关键它里面可能混杂着字符串、数字、甚至函数对象。我让AI协助分析这个数组。“这是常量数组_0x12acf。请帮我分析其内容结构。尝试识别出哪些元素看起来像是字符串有引号哪些是数字哪些可能是函数引用function关键字或变量名。可以尝试将它们分类列出。”AI可以快速地将数组内容格式化并标记出疑似字符串、数字和undefined的位置。对于字符串它还能尝试判断其用途比如是否是API地址/api/submit、参数名userToken、或是明显的单词encode、md5。这大大加速了我对程序数据流的理解。实操心得在与AI交互时一定要把任务拆解得足够细、指令足够明确。不要一次性问“这段代码是干嘛的”而是分步骤问“找出核心循环”、“注释指令”、“分析数据”。同时AI的输出必须经过动态调试的验证这是铁律。5. 动态调试与逻辑验证让人工智能落地静态分析结合AI注释我们得到了一份“加了注释的虚拟机源码”。但它的实际执行流程是怎样的加密参数到底在哪一步生成这就需要回到动态调试。5.1 在关键位置下断点基于AI辅助分析的结果我有了几个假设的“关键点”可能有一个指令CALL_FUNCTION它调用了外部的加密函数如CryptoJS.MD5或btoa。加密结果最终会被存储到某个寄存器或全局变量然后被赋值给请求参数。我在Chrome DevTools中在核心的switch分发器函数入口处下了断点。然后在网页上触发加密操作比如点击提交按钮。程序会立即在断点处暂停。5.2 跟踪执行流与数据变化单步执行F11观察每一步执行后调用栈Call Stack、作用域Scope中局部变量的变化尤其是_0xstack和_0xregs。同时结合我们之前AI生成的注释看实际执行是否与注释匹配。例如当执行到AI注释为CALL_FUNCTION的case时我仔细观察它从栈上弹出的是什么参数调用的函数是什么在Scope里可以看到。如果调用的是window.btoa或者某个md5函数那么这里就非常关键了。技巧使用“Watch”表达式。在调试器的Watch面板中我添加了几个关键的监视表达式如_0xstack.slice() 实时查看栈的完整内容。Object.keys(_0xregs).map(k ${k}: ${_0xregs[k]}) 查看所有寄存器的键值。_0xopcodes[_0xip] 查看下一条即将执行的指令。通过单步跟踪我逐步绘制出加密参数生成过程中的关键指令序列。比如我发现流程大致是PUSH_CONST- 压入待加密的原始字符串如时间戳随机数。CALL_FUNCTION- 调用一个自定义的_0x1234函数进行第一轮变换。一系列ADD、XOR、SHIFT操作虚拟机指令进行第二轮混淆。再次CALL_FUNCTION- 调用window.btoa进行Base64编码。POP_STORE- 将结果存入寄存器_0xregs[result]。后续有指令将这个result赋值给某个全局变量最终被拼接到请求URL中。5.3 与AI协作验证与重构拿到动态跟踪到的关键指令序列和操作数后我又去求助AI。我把这个序列和相关的代码片段发给它“根据动态调试我观察到生成加密参数的核心指令序列是[0x1, 0x23], [0x3, 0x01], [0x4], [0x5, 0x67], [0x2, ‘result’]。结合之前的代码0x1是PUSH_CONST参数是常量索引0x230x3是LOAD_REG加载寄存器0x01的值0x4是ADD0x5是CALL_FUNCTION调用索引0x67对应的函数0x2是POP_STORE到寄存器result。常量数组_0x12acf中索引0x23的值是字符串’timestamp’索引0x67指向函数_0xabcd。寄存器0x01里存储了当前时间戳。你能帮我根据这些信息用纯JavaScript写一个模拟这个过程的函数吗”AI根据我的描述生成了一段模拟代码function simulateEncryption(timestamp) { const _0x12acf [...]; // 这里需要填入实际的常量数组 const _0xregs {‘0x01’: timestamp}; // 模拟指令序列 let stack []; // PUSH_CONST 0x23 stack.push(_0x12acf[0x23]); // ‘timestamp’ // LOAD_REG 0x01 stack.push(_0xregs[‘0x01’]); // timestamp值 // ADD let b stack.pop(); // timestamp值 let a stack.pop(); // ‘timestamp’ stack.push(a b); // 拼接成 ‘timestamp164...’ // CALL_FUNCTION 0x67 (假设_0xabcd是md5) let funcArg stack.pop(); let result _0xabcd(funcArg); // 调用md5 stack.push(result); // POP_STORE to ‘result’ _0xregs[‘result’] stack.pop(); return _0xregs[‘result’]; }这段代码虽然简陋但它将虚拟机的操作翻译成了可读的JS逻辑。我将其复制到Node.js环境中填入真实的常量数组和函数_0xabcd可能需要从原代码中扣取或模拟然后运行测试。通过对比浏览器中生成的加密参数和我的模拟函数输出来验证我的理解是否正确。这个过程是循环迭代的动态调试发现新线索 - 让AI帮助解释和生成模拟代码 - 在Node.js中运行验证 - 发现不一致 - 回到动态调试查找原因 - 修正理解 - 再次让AI调整代码。如此反复直到模拟结果与真实结果完全一致。6. 完整模拟与参数生成从理解到复现经过数轮的静态分析、AI辅助解码、动态跟踪和验证我终于完全弄清楚了加密参数的生成逻辑。它并非一个标准算法而是一个由VMP顺序执行的一系列自定义操作字符串拼接、简单的位运算、调用一次MD5最后进行Base64编码。6.1 编写完整的模拟函数现在我不再需要模拟整个虚拟机而是可以直接将分析出的逻辑重写为一个简洁的纯JavaScript函数。这个函数完全脱离了原始的VMP结构只保留核心计算步骤。// 猿人学第三屆第二题加密参数模拟生成 function generateEncryptedParam(inputData) { // 步骤1: 拼接原始字符串 (根据动态调试得出的格式) let rawStr param1${inputData.param1}time${Date.now()}nonce${Math.random().toString(36).substr(2, 8)}; // 步骤2: 第一次变换 (模拟VMP中的自定义操作可能是简单的字符位置调换或xor) let transformed1 customTransform1(rawStr); // 这是一个根据逆向结果实现的函数 // 步骤3: MD5哈希 (发现VMP中调用了CryptoJS.MD5这里用Node.js的‘crypto’模块或等价的JS实现) const crypto require(‘crypto’); let md5Hash crypto.createHash(‘md5’).update(transformed1).digest(‘hex’); // 步骤4: 第二次变换 (可能是取部分字符或再次拼接) let transformed2 md5Hash.substr(8, 16) ‘_’ md5Hash.substr(0, 8); // 步骤5: Base64编码 (VMP中调用的是btoa) let finalParam Buffer.from(transformed2).toString(‘base64’); return finalParam; } // 示例中的自定义变换函数 (需要根据实际逆向结果填充) function customTransform1(str) { // 例如可能是每两个字符交换位置 let arr str.split(‘‘); for (let i 0; i arr.length - 1; i 2) { [arr[i], arr[i1]] [arr[i1], arr[i]]; } return arr.join(‘‘); }6.2 集成到自动化脚本中生成函数后下一步就是将其集成到一个能自动解题的脚本中。通常猿人学的题目需要向一个接口发送携带正确加密参数的请求并获取返回的答案。const axios require(‘axios’); // 用于发送HTTP请求 async function solveChallenge() { // 1. 获取题目初始数据 (如果需要的话) // let pageData await axios.get(‘题目URL‘); // 2. 从页面数据中提取必要的输入 (例如一个待计算的token) let input extractInput(pageData); // 3. 生成加密参数 let encryptedParam generateEncryptedParam({param1: input}); // 4. 构造请求并提交 let response await axios.post(‘提交答案的API地址‘, { // ... 其他必要参数 ‘encrypted_data‘: encryptedParam }, { headers: { // ... 必要的请求头可能包括User-Agent, Cookie等 } }); // 5. 解析响应获取答案 console.log(‘答案‘, response.data.answer); } solveChallenge();6.3 验证与调优运行这个脚本第一次很可能失败。因为模拟的细节可能有偏差比如customTransform1的逻辑不完全正确。字符串拼接的格式有细微差别多一个空格或少一个符号。MD5的输入字符串编码问题是UTF-8还是Latin1。Base64编码后是否需要去掉填充。这时需要回到浏览器的调试器在加密完成的瞬间将生成加密参数的每一个中间变量的值都打印出来可以通过在关键位置打console.log断点或者使用Debugger中的Conditional breakpoint并与我的模拟函数中对应步骤的结果进行逐字节对比。找到第一个不一致的地方那就是需要修正的环节。注意事项时间戳Date.now()和随机数Math.random()在浏览器和Node.js中运行可能会在毫秒级有差异如果加密逻辑对时间极其敏感可能需要同步时间或者更常见的是题目使用的time参数是从服务器响应中获取的而非本地生成。务必通过动态调试确认时间戳的来源。7. 常见问题与排查技巧实录在整个逆向和模拟过程中踩坑是必然的。这里记录几个典型问题及其解决方法希望能帮你少走弯路。7.1 问题一AI生成的注释或代码逻辑错误现象按照AI注释的指令逻辑编写的模拟代码运行结果与浏览器不一致。排查动态验证这是黄金准则。在浏览器调试器中当执行到AI注释的指令时亲自查看栈、寄存器的前后状态确认AI的理解是否正确。比如AI说case 0x10是MUL乘法但实际调试发现它执行的是AND按位与操作。上下文理解AI可能只看了单条指令。有些指令的功能依赖于前一条指令设置的状态。需要结合上下文连续几条指令一起分析。修正指令发现错误后手动修正本地保存的“注释版源码”并可以把这个修正后的片段反馈给AI让它学习并重新解释类似的模式。7.2 问题二扣取函数环境依赖缺失现象在Node.js中运行模拟代码时报错“xxx is not defined”或者调用某个函数如_0xabcd时结果不对。排查全局搜索在原始的VMP代码文件中搜索这个未定义的变量或函数名看它是在哪里定义的。很可能它是一个在VMP外部定义的全局函数或者依赖于浏览器环境如window、document对象。环境补全如果依赖浏览器环境需要在Node.js中模拟。例如如果用了window.btoa在Node.js中可以用Buffer.from(str).toString(‘base64’)替代。如果是一个复杂的自定义函数可能需要把这个函数的源码也扣出来。扣的时候注意函数内部可能又引用了其他全局变量或函数要递归地补全直到形成一个闭包。简化替代有时我们并不需要完整扣出那个函数。通过动态调试观察其输入输出如果能推断出它的功能比如就是一个简单的字符串反转那么直接用等价的JS函数实现即可。7.3 问题三加密结果总是差一点现象模拟生成的参数和浏览器生成的参数非常相似但总有几位字符对不上。排查中间值对比这是最有效的调试方法。在浏览器生成参数的路径上在每一个关键步骤后用console.log打印出中间值字符串、哈希值。在你的Node.js模拟代码中在对应步骤也打印出来。从第一步开始逐行对比找到第一个产生差异的地方。编码问题重点关注字符串到字节的转换。浏览器的btoa和Node.js的Buffer.from().toString(‘base64’)在处理非ASCII字符时行为一致吗MD5哈希的输入是字符串的UTF-8编码还是Latin1二进制编码在JavaScript中确保使用TextEncoder或指定编码的Buffer来处理。数据来源确认所有输入数据的来源完全一致。时间戳是取自同一个服务器响应吗随机数生成算法是否完全一致有时题目会使用一个固定的种子生成伪随机数你需要找到并复现这个种子。7.4 问题四VMP代码有反调试或动态变種现象下断点后代码不执行或者单步执行时逻辑突然跳转到奇怪的地方。排查禁用断点检测有些VMP会检测debugger关键字或DevTools的开启。可以尝试使用setTimeout或eval绕过简单的检测。对于复杂的可能需要先找到检测代码并NOP掉在Sources面板里直接编辑JS文件但刷新会失效。逻辑流混淆VMP的指令指针_0xip可能不是简单的递增而是通过一个跳转表动态计算下一个指令地址。这就需要更仔细地分析分发器逻辑理解跳转规则。AI可以帮助分析计算_0xip的代码模式。持久化修改对于需要多次调试的情况可以使用本地文件替换Local Overrides功能。在DevTools的Sources-Overrides中将修改后的JS文件映射到网络请求这样每次刷新都会使用你的本地版本。7.5 给AI提问的技巧总结分而治之不要一次性扔给AI几万行代码。先自己用搜索和粗略浏览定位关键函数通常名字很怪、结构很复杂再把关键函数分段喂给AI。提供上下文在让AI分析一段代码时简要说明这段代码的来历“这是一段JS虚拟机保护代码的核心分发器”以及你的目标“我想理解它的指令集”。要求结构化输出明确要求AI以表格、列表或添加注释的形式输出这样信息更清晰易用。交叉验证不要完全信任AI的一次输出。用它的输出作为假设然后用动态调试去验证。把验证结果“你推测的case 0x5是减法但我调试发现是乘法”反馈给它让它修正理解。利用AI生成测试用例当你推测出部分逻辑后可以让AI帮你生成一些测试输入和期望输出用来验证你的模拟函数。逆向工程尤其是JS逆向是一个需要极大耐心和细致观察力的工作。引入AI并不是为了替代我们思考而是作为一个强大的“辅助大脑”帮我们处理繁琐的文本分析和模式识别让我们能更专注于高层的逻辑推理和策略制定。猿人学这道jsvmp题目正是实践这种人机协作模式的绝佳沙场。最终当你看到自己编写的模拟脚本成功生成参数并获取到正确答案时那种成就感远比单纯使用一个现成的工具要强烈得多。这其中的曲折、试错和最终的通透才是逆向真正的乐趣所在。