javascript - 用实际变量名/字符串替换数组映射变量？

Question

我正在尝试编辑 Greasemonkey/jQuery 脚本。我不能在这里发布链接。
代码使用 minify 进行了混淆和压缩。
它是这样开始的:

var _0x21e9 = ["\x67\x65\x74\x4D\x6F\x6E\x74\x68", "\x67\x65\x74\x55\x54\x43\x44\x61\x74\x65", ...

“解码”后，我得到了这个:

var _0x21e9=["getMonth","getUTCDate","getFullYear", ...   

这是一个巨大的列表 (500+)。然后，它有一些像这样的变量:

 month = date[_0x21e9[0]](), day = date[_0x21e9[1]](), ...

_0x21e9[0] 是getMonth，_0x21e9[1] 是getUTCDate，等等

是否可以用实际变量名替换方括号？怎么样？
我对 javascript/jQuery 知之甚少，无法按现在的方式“阅读”代码。
我只想使用这个巨大脚本中的一些功能并删除我不需要的其他功能。

更新:我尝试按照此处和重复问题中的建议使用 jsbeautifier.org，但除了“缩进”之外没有任何变化。

它没有用解码后的名称替换数组变量。
例如:

1. jsbeautifier 仍然给出:month = date[_0x21e9[0]]()。
2. 但我需要:month = date["getMonth"]()。

似乎没有在线反混淆器能做到这一点，我该怎么做？

---

有没有办法让我与他人分享代码，至少分享一部分？我读到我无法在此处发布 pastebin 或类似内容。我无法在此处发布完整代码。

这是代码的另一部分:

$(_0x21e9[8] + vid)[_0x21e9[18]]();    

[8] 是“.” [18] 是“删除”。手动替换它会产生奇怪的结果。

Answer 1

我还没有看到任何在线反混淆器可以做到这一点，但原理很简单。
构造一个文本过滤器来解析“键”数组，然后用适当的数组值替换引用该数组的每个实例。

例如，假设您有一个文件 evil.js，看起来像这样(在您通过 jsbeautifier.org 使用Detect packers and obfuscators? 运行它之后和 Unescape printable chars... 选项集):

var _0xf17f = ["(", ")", 'div', "createElement", "id", "log", "console"];
var _0x41dcx3 = eval(_0xf17f[0] + '{id: 3}' + _0xf17f[1]);
var _0x41dcx4 = document[_0xf17f[3]](_0xf17f[2]);
var _0x41dcx5 = _0x41dcx3[_0xf17f[4]];
window[_0xf17f[6]][_0xf17f[5]](_0x41dcx5);

在那种情况下，“key”变量将是 _0xf17f 而“key”数组将是 ["(", ")", ...] .

过滤过程如下所示:

1. 在 js 文件上使用文本处理提取 key 名称。结果:_0xf17f

2. 提取键数组的字符串src。结果:

   keyArrayStr = '["(", ")", \'div\', "createElement", "id", "log", "console"]';
   

3. 在 javascript 中，我们可以使用 .replace() 来解析 JS src 的其余部分。像这样:

var keyArrayStr = '["(", ")", \'div\', "createElement", "id", "log", "console"]';
var restOfSrc   = "var _0x41dcx3 = eval(_0xf17f[0] + '{id: 3}' + _0xf17f[1]);\n"
                + "var _0x41dcx4 = document[_0xf17f[3]](_0xf17f[2]);\n"
                + "var _0x41dcx5 = _0x41dcx3[_0xf17f[4]];\n"
                + "window[_0xf17f[6]][_0xf17f[5]](_0x41dcx5);\n"
                ;
var keyArray    = eval (keyArrayStr);
//-- Note that `_0xf17f` is the key name we already determined.
var keyRegExp   = /_0xf17f\s*\[\s*(\d+)\s*\]/g;

var deObsTxt    = restOfSrc.replace (keyRegExp, function (matchStr, p1Str) {
    return '"' + keyArray[ parseInt(p1Str, 10) ] + '"';
} );
console.log (deObsTxt);

如果你run that code ，你得到:

var _0x41dcx3 = eval("(" + '{id: 3}' + ")");
var _0x41dcx4 = document["createElement"]("div");
var _0x41dcx5 = _0x41dcx3["id"];
window["console"]["log"](_0x41dcx5);

-- 这更容易阅读/理解。

---

我还创建了一个在线页面，该页面采用 JS 源代码并以稍微更自动化和稳健的方式执行所有 3 个重新映射步骤。您可以在以下位置看到它:

jsbin.com/hazevo

(请注意，该工具希望源代码以“关键”变量声明开头，就像您的代码示例一样)