base64魔改算法 | jsvmp日志分析并还原

前言

上一篇我们讲了标准 base64 算法还原，为了进一步学习 base64 算法特点，本文将结合 jsvmp 日志，实战还原出 base64 魔改算法。

为了方便大家学习，我将入参和上篇文章一样，入参为 Hello, World!。

插桩

在js代码中，找到 运算符 位置以及 apply 插桩点，结合插桩日志框架，代码插桩如下：

jsvmp源码：https://t.zsxq.com/B5aRh

日志分析

代码执行后，日志如下：

第 1 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 0 ] 结果： 72
第 2 条:  函数： [Function: push] 调用者： [ 72 ] 参数： [ 72 ] 结果： 1
第 3 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 1 ] 结果： 101
第 4 条:  函数： [Function: push] 调用者： [ 72, 101 ] 参数： [ 101 ] 结果： 2
第 5 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 2 ] 结果： 108
第 6 条:  函数： [Function: push] 调用者： [ 72, 101, 108 ] 参数： [ 108 ] 结果： 3
第 7 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 3 ] 结果： 108
第 8 条:  函数： [Function: push] 调用者： [ 72, 101, 108, 108 ] 参数： [ 108 ] 结果： 4
第 9 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 4 ] 结果： 111
第 10 条:  函数： [Function: push] 调用者： [ 72, 101, 108, 108, 111 ] 参数： [ 111 ] 结果： 5
第 11 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 5 ] 结果： 44
第 12 条:  函数： [Function: push] 调用者： [ 72, 101, 108, 108, 111, 44 ] 参数： [ 44 ] 结果： 6
第 13 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 6 ] 结果： 32
第 14 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108,
  111,  44,  32
] 参数： [ 32 ] 结果： 7
第 15 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 7 ] 结果： 87
第 16 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108,
  111,  44,  32,  87
] 参数： [ 87 ] 结果： 8
第 17 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 8 ] 结果： 111
第 18 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108,
  111,  44,  32,  87,
  111
] 参数： [ 111 ] 结果： 9
第 19 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 9 ] 结果： 114
第 20 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108,
  111,  44,  32,  87,
  111, 114
] 参数： [ 114 ] 结果： 10
第 21 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 10 ] 结果： 108
第 22 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108,
  111,  44,  32,  87,
  111, 114, 108
] 参数： [ 108 ] 结果： 11
第 23 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 11 ] 结果： 100
第 24 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100
] 参数： [ 100 ] 结果： 12
第 25 条:  函数： [Function: charCodeAt] 调用者： Hello, World! 参数： [ 12 ] 结果： 33
第 26 条:  函数： [Function: push] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100,  33
] 参数： [ 33 ] 结果： 13
第 27 条:  0 + 3 ====> 3
第 28 条:  函数： [Function: slice] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100,  33
] 参数： [ 0, 3 ] 结果： [ 72, 101, 108 ]
第 29 条:  函数： [Function: slice] 调用者： [ 72, 101, 108 ] 参数： [] 结果： [ 72, 101, 108 ]
第 30 条:  3 - 3 ====> 0
第 31 条:  72 & 255 ====> 72
第 32 条:  101 & 255 ====> 101
第 33 条:  108 & 255 ====> 108
第 34 条:  72 << 16 ====> 4718592
第 35 条:  101 << 8 ====> 25856
第 36 条:  4718592 | 25856 ====> 4744448
第 37 条:  4744448 | 108 ====> 4744556
第 38 条:  4744556 >> 18 ====> 18
第 39 条:  18 & 63 ====> 18
第 40 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 18 ] 结果： w
第 41 条:  4744556 >> 12 ====> 1158
第 42 条:  1158 & 63 ====> 6
第 43 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 6 ] 结果： 4
第 44 条:  4744556 >> 6 ====> 74133
第 45 条:  74133 & 63 ====> 21
第 46 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 21 ] 结果： X
第 47 条:  4744556 & 63 ====> 44
第 48 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 44 ] 结果： u
第 49 条:  函数： [Function: apply] 调用者： [Function: t4] 参数： [ null, [ 72, 101, 108 ] ] 结果： [ 'w', '4', 'X', 'u' ]
第 50 条:   + w ====> w
第 51 条:  w + 4 ====> w4
第 52 条:  w4 + X ====> w4X
第 53 条:  w4X + u ====> w4Xu
第 54 条:  0 + 3 ====> 3
第 55 条:  3 + 3 ====> 6
第 56 条:  函数： [Function: slice] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100,  33
] 参数： [ 3, 6 ] 结果： [ 108, 111, 44 ]
第 57 条:  函数： [Function: slice] 调用者： [ 108, 111, 44 ] 参数： [] 结果： [ 108, 111, 44 ]
第 58 条:  3 - 3 ====> 0
第 59 条:  108 & 255 ====> 108
第 60 条:  111 & 255 ====> 111
第 61 条:  44 & 255 ====> 44
第 62 条:  108 << 16 ====> 7077888
第 63 条:  111 << 8 ====> 28416
第 64 条:  7077888 | 28416 ====> 7106304
第 65 条:  7106304 | 44 ====> 7106348
第 66 条:  7106348 >> 18 ====> 27
第 67 条:  27 & 63 ====> 27
第 68 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 27 ] 结果： +
第 69 条:  7106348 >> 12 ====> 1734
第 70 条:  1734 & 63 ====> 6
第 71 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 6 ] 结果： 4
第 72 条:  7106348 >> 6 ====> 111036
第 73 条:  111036 & 63 ====> 60
第 74 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 60 ] 结果： S
第 75 条:  7106348 & 63 ====> 44
第 76 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 44 ] 结果： u
第 77 条:  函数： [Function: apply] 调用者： [Function: t4] 参数： [ null, [ 108, 111, 44 ] ] 结果： [ '+', '4', 'S', 'u' ]
第 78 条:  w4Xu + + ====> w4Xu+
第 79 条:  w4Xu+ + 4 ====> w4Xu+4
第 80 条:  w4Xu+4 + S ====> w4Xu+4S
第 81 条:  w4Xu+4S + u ====> w4Xu+4Su
第 82 条:  3 + 3 ====> 6
第 83 条:  6 + 3 ====> 9
第 84 条:  函数： [Function: slice] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100,  33
] 参数： [ 6, 9 ] 结果： [ 32, 87, 111 ]
第 85 条:  函数： [Function: slice] 调用者： [ 32, 87, 111 ] 参数： [] 结果： [ 32, 87, 111 ]
第 86 条:  3 - 3 ====> 0
第 87 条:  32 & 255 ====> 32
第 88 条:  87 & 255 ====> 87
第 89 条:  111 & 255 ====> 111
第 90 条:  32 << 16 ====> 2097152
第 91 条:  87 << 8 ====> 22272
第 92 条:  2097152 | 22272 ====> 2119424
第 93 条:  2119424 | 111 ====> 2119535
第 94 条:  2119535 >> 18 ====> 8
第 95 条:  8 & 63 ====> 8
第 96 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 8 ] 结果： K
第 97 条:  2119535 >> 12 ====> 517
第 98 条:  517 & 63 ====> 5
第 99 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 5 ] 结果： h
第 100 条:  2119535 >> 6 ====> 33117
第 101 条:  33117 & 63 ====> 29
第 102 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 29 ] 结果： U
第 103 条:  2119535 & 63 ====> 47
第 104 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 47 ] 结果： F
第 105 条:  函数： [Function: apply] 调用者： [Function: t4] 参数： [ null, [ 32, 87, 111 ] ] 结果： [ 'K', 'h', 'U', 'F' ]
第 106 条:  w4Xu+4Su + K ====> w4Xu+4SuK
第 107 条:  w4Xu+4SuK + h ====> w4Xu+4SuKh
第 108 条:  w4Xu+4SuKh + U ====> w4Xu+4SuKhU
第 109 条:  w4Xu+4SuKhU + F ====> w4Xu+4SuKhUF
第 110 条:  6 + 3 ====> 9
第 111 条:  9 + 3 ====> 12
第 112 条:  函数： [Function: slice] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100,  33
] 参数： [ 9, 12 ] 结果： [ 114, 108, 100 ]
第 113 条:  函数： [Function: slice] 调用者： [ 114, 108, 100 ] 参数： [] 结果： [ 114, 108, 100 ]
第 114 条:  3 - 3 ====> 0
第 115 条:  114 & 255 ====> 114
第 116 条:  108 & 255 ====> 108
第 117 条:  100 & 255 ====> 100
第 118 条:  114 << 16 ====> 7471104
第 119 条:  108 << 8 ====> 27648
第 120 条:  7471104 | 27648 ====> 7498752
第 121 条:  7498752 | 100 ====> 7498852
第 122 条:  7498852 >> 18 ====> 28
第 123 条:  28 & 63 ====> 28
第 124 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 28 ] 结果： W
第 125 条:  7498852 >> 12 ====> 1830
第 126 条:  1830 & 63 ====> 38
第 127 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 38 ] 结果： o
第 128 条:  7498852 >> 6 ====> 117169
第 129 条:  117169 & 63 ====> 49
第 130 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 49 ] 结果： J
第 131 条:  7498852 & 63 ====> 36
第 132 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 36 ] 结果： L
第 133 条:  函数： [Function: apply] 调用者： [Function: t4] 参数： [ null, [ 114, 108, 100 ] ] 结果： [ 'W', 'o', 'J', 'L' ]
第 134 条:  w4Xu+4SuKhUF + W ====> w4Xu+4SuKhUFW
第 135 条:  w4Xu+4SuKhUFW + o ====> w4Xu+4SuKhUFWo
第 136 条:  w4Xu+4SuKhUFWo + J ====> w4Xu+4SuKhUFWoJ
第 137 条:  w4Xu+4SuKhUFWoJ + L ====> w4Xu+4SuKhUFWoJL
第 138 条:  9 + 3 ====> 12
第 139 条:  12 + 3 ====> 15
第 140 条:  函数： [Function: slice] 调用者： [
   72, 101, 108, 108, 111,
   44,  32,  87, 111, 114,
  108, 100,  33
] 参数： [ 12, 15 ] 结果： [ 33 ]
第 141 条:  函数： [Function: slice] 调用者： [ 33 ] 参数： [] 结果： [ 33 ]
第 142 条:  3 - 1 ====> 2
第 143 条:  函数： [Function: push] 调用者： [ 33, 0 ] 参数： [ 0 ] 结果： 2
第 144 条:  3 - 1 ====> 2
第 145 条:  函数： [Function: push] 调用者： [ 33, 0, 0 ] 参数： [ 0 ] 结果： 3
第 146 条:  3 - 1 ====> 2
第 147 条:  33 & 255 ====> 33
第 148 条:  0 & 255 ====> 0
第 149 条:  0 & 255 ====> 0
第 150 条:  33 << 16 ====> 2162688
第 151 条:  0 << 8 ====> 0
第 152 条:  2162688 | 0 ====> 2162688
第 153 条:  2162688 | 0 ====> 2162688
第 154 条:  2162688 >> 18 ====> 8
第 155 条:  8 & 63 ====> 8
第 156 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 8 ] 结果： K
第 157 条:  2162688 >> 12 ====> 528
第 158 条:  528 & 63 ====> 16
第 159 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 16 ] 结果： f
第 160 条:  2162688 >> 6 ====> 33792
第 161 条:  33792 & 63 ====> 0
第 162 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 0 ] 结果： D
第 163 条:  2162688 & 63 ====> 0
第 164 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 0 ] 结果： D
第 165 条:  函数： [Function: apply] 调用者： [Function: t4] 参数： [ null, [ 33, 0, 0 ] ] 结果： [ 'K', 'f', 'D', 'D' ]
第 166 条:  w4Xu+4SuKhUFWoJL + K ====> w4Xu+4SuKhUFWoJLK
第 167 条:  w4Xu+4SuKhUFWoJLK + f ====> w4Xu+4SuKhUFWoJLKf
第 168 条:  w4Xu+4SuKhUFWoJLKf + = ====> w4Xu+4SuKhUFWoJLKf=
第 169 条:  w4Xu+4SuKhUFWoJLKf= + = ====> w4Xu+4SuKhUFWoJLKf==
第 170 条:  12 + 3 ====> 15
第 171 条:  函数： [Function: t4] 调用者： Object [global] {
  '@faceless': <ref *1> Object [global] {
    global: [Circular *1],
    queueMicrotask: [Function: queueMicrotask],
    clearImmediate: [Function: clearImmediate],
    setImmediate: [Function: setImmediate] {
      [Symbol(nodejs.util.promisify.custom)]: [Getter]
    },
    structuredClone: [Getter/Setter],
    clearInterval: [Function: clearInterval],
    clearTimeout: [Function: clearTimeout],
    setInterval: [Function: setInterval],
    setTimeout: [Function: setTimeout] {
      [Symbol(nodejs.util.promisify.custom)]: [Getter]
    },
    atob: [Getter/Setter],
    btoa: [Getter/Setter],
    performance: [Getter/Setter],
    fetch: [AsyncFunction: fetch],
    window: [Circular *1]
  },
  arguments: undefined,
  optimizedBase64Encode: [Function: t4]
} 参数： [ 'Hello, World!' ] 结果： w4Xu+4SuKhUFWoJLKf==
w4Xu+4SuKhUFWoJLKf==

实战过程中，当看到 w4Xu+4SuKhUFWoJLKf== 这个字符后，看起来像是 base64 编码，所以通过 atob 尝试解码，得到 Ã\x85îû\x84®*\x15\x05Z\x82K)，显然不对。

那分析日志吧！

第 29 条:  函数： [Function: slice] 调用者： [ 72, 101, 108 ] 参数： [] 结果： [ 72, 101, 108 ]
第 30 条:  3 - 3 ====> 0
第 31 条:  72 & 255 ====> 72
第 32 条:  101 & 255 ====> 101
第 33 条:  108 & 255 ====> 108
第 34 条:  72 << 16 ====> 4718592
第 35 条:  101 << 8 ====> 25856
第 36 条:  4718592 | 25856 ====> 4744448
第 37 条:  4744448 | 108 ====> 4744556
第 38 条:  4744556 >> 18 ====> 18
第 39 条:  18 & 63 ====> 18
第 40 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 18 ] 结果： w
第 41 条:  4744556 >> 12 ====> 1158
第 42 条:  1158 & 63 ====> 6
第 43 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 6 ] 结果： 4
第 44 条:  4744556 >> 6 ====> 74133
第 45 条:  74133 & 63 ====> 21
第 46 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 21 ] 结果： X
第 47 条:  4744556 & 63 ====> 44
第 48 条:  函数： [Function: charAt] 调用者： Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe= 参数： [ 44 ] 结果： u

看到这段日志，有什么发现吗？

上篇文章讲过，如果是 3 个字节值通过位运算得到一个 4 个字节值，即：72, 101, 108 ===> 18, 6, 21, 44

所以，我们判断，它大概是 标准base64或者变种 base64算法，由于我们验证过，它不是标准base64，所以它应该是变种base64。

那么，既然知道它大概是变种base64，那我们还需要一步一步去日志还原吗？

答案肯定不需要的。

我们只需要拿着 base64标准算法模板去改就行。俗称：套模板，大大节省我们的时间，而且也不容易出错！

标准 base64 算法模版：https://t.zsxq.com/sphu5

首先控制入参一样，即：Hello, World!。

分析日志发现，首先它把标准的 base64 算法，码表由 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 变成了 Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=。

其次是：

第 31 条:  72 & 255 ====> 72
第 32 条:  101 & 255 ====> 101
第 33 条:  108 & 255 ====> 108

每次位运算之前，都进行了 & 255 操作。

所以我们只需要微调代码，如下：

function processGroup(a, b, c) {
  a = a & 255; // 追加内容
  b = b & 255; // 追加内容
  c = c & 255; // 追加内容
  var combined = (a << 16) | (b << 8) | c;
  return [
    base64Chars.charAt((combined >> 18) & 63),
    base64Chars.charAt((combined >> 12) & 63),
    base64Chars.charAt((combined >> 6) & 63),
    base64Chars.charAt(combined & 63)
  ];
}

最后，我们再验证一下，发现结果也是 w4Xu+4SuKhUFWoJLKf==，和日志结果一致，说明我们还原成功！

完整代码：https://t.zsxq.com/ROTc7

下一篇文章我们分析 RC4 jsvmp算法，学习它的日志特点。