代码混淆后的时间检测怎么绕过?
我在做前端反调试练习,用工具混淆了代码,里面加了时间检测逻辑,一运行就直接跳转或清空页面,根本没法调试。试过在控制台覆盖 Date.now(),但好像没生效。
比如混淆后的代码里有类似这样的判断:
var t1 = Date.now();
// ... 一些操作
if (Date.now() - t1 > 50) {
window.location.href = 'about:blank';
}
我该怎么绕过这种时间差检测?是不是还有其他隐藏的检测点?
- 1
回答
67浏览
前端代码混淆后怎么防止别人调试绕过?
我用 webpack 打包时加了 Terser 做了代码压缩和变量名混淆,但发现别人在 DevTools 里打个断点或者格式化一下,逻辑还是能看懂。试过加 debugger 反调试,结果一刷新就卡死,...
- 1
回答
61浏览
前端代码混淆后怎么防 DevTools 调试?
我用 Vue 写了个小项目,为了防止别人轻易看懂逻辑,用了 JavaScript 混淆工具处理了代码。但发现只要打开 DevTools,断点一打还是能一步步跟进去看变量和流程,这不就白混淆了?有没有办...
- 1
回答
47浏览
死代码注入混淆后怎么避免影响实际功能?
我用 webpack 加了个混淆插件,开启了死代码注入,结果页面有些按钮点击没反应了。是不是注入的无效逻辑干扰了真实代码? 比如下面这种混淆后的代码,明显多了很多无用分支: function hand...
- 2
回答
84浏览
前端代码混淆后怎么防调试?控制台一打就崩了
我最近在搞一个付费的H5小游戏,为了防止别人直接扒代码,用了webpack加了Terser做混淆,还加了点反调试的代码。但上线后发现,只要用户打开DevTools,页面就直接白屏或者卡死,体验太差了。...
- 1
回答
61浏览
前端代码混淆后怎么防止别人调试?
我最近在做项目上线前的安全加固,用了 terser 做了代码压缩和混淆,但发现别人只要打开 DevTools 就能轻松打断点调试,甚至格式化代码看逻辑。我试过加 debugger 语句来干扰调试,但效...
- 2
回答
95浏览
前端代码混淆后,怎么防止别人通过 DevTools 轻松还原样式?
我最近在做项目上线前的代码保护,用工具把 JS 混淆了,但发现 CSS 样式还是能被直接在 DevTools 里看到,甚至改几行就能绕过一些限制。比如我写了段隐藏调试面板的样式,结果别人一打开控制台就...
- 2
回答
33浏览
JavaScript代码混淆后变量名乱码导致调试困难怎么办?
我用了一个在线的JS混淆工具把代码加密了,结果所有变量都变成像a1b2c3这种名字,现在线上出问题根本没法调试。有没有办法在混淆的同时保留一定的可读性,或者生成source map? 试过把混淆强度调...
- 2
回答
65浏览
JS混淆后代码报错怎么排查?
我用在线工具把一段JS代码混淆了,结果在浏览器里直接报错,控制台显示Uncaught SyntaxError: Unexpected token '}',但原代码明明能正常运行啊。 混淆前的代码是这样...
- 2
回答
58浏览
代码混淆后如何检测JavaScript中的代码完整性?
最近在给项目加代码混淆,但发现混淆后的代码每次构建都不同,之前用的文件哈希校验方法完全失效了。想请教下大家,有没有什么方法能既保持代码混淆,又能检测代码是否被非法篡改? 我之前是这样校验的:if (c...
- 2
回答
53浏览
iOS和Android越狱检测总是被绕过怎么办?
最近在给一个金融类App加安全检测,需要判断设备是否越狱或Root。按照网上的方案写了检测已知目录的代码: function checkJailbreak() { return fs.existsSy...
或者用debugger把时间戳固定死:
要是还不行就上代理,把整个window.location劫持掉。
Date.now()没生效大概率是因为混淆代码在你覆盖之前已经把原方法缓存了,比如var _now = Date.now这种写法,你后面怎么改都没用。几个实用的绕过方案:
第一个方案,用条件断点。找到那段检测代码,在
if判断那行打个断点,右键选"Never pause here",或者直接在条件表达式里写false。这样断点命中时你可以手动把跳转逻辑干掉,性能上几乎零开销。第二个方案,用浏览器的 Overrides 功能。Sources 面板左边有个 Overrides 标签,把混淆的 JS 文件存到本地,把检测逻辑删掉或改成
if(false),刷新页面就会加载你改过的版本。这个方法最彻底。第三个方案,如果你坚持要 hook 时间函数,得在脚本执行前注入。用 Fiddler 或 Charles 代理,在 HTML 里最前面注入一段:
但说实话这方法有点暴力,可能影响其他正常逻辑。
还有一个隐藏检测点要注意,有些混淆会用
performance.now()代替Date.now(),精度更高,你只 hook Date 系列是没用的。另外还有检测debugger语句的,会用定时器循环检查,遇到setInterval里藏检测逻辑的情况,直接在 Console 里跑clearInterval把所有定时器清掉试试。最省事的还是 Overrides 直接改源码,别跟混淆代码较劲,不值得。