Python逆向JSAST反混淆教程

本文深入剖析了Python在JavaScript逆向工程中的实战应用，聚焦AST反混淆、Webpack模块还原与加密逻辑识别三大核心难题：通过esprima或slimit将JS代码结构化为可遍历的AST，精准处理混淆变量名与赋值查表；借助正则与括号匹配提取并重构__webpack_modules__，智能解析__webpack_require__.d等导出机制以恢复真实模块依赖；结合人工模式识别（如atob、异或循环、自定义Base64表）破解常见编码混淆，并推荐PyMiniRacer替代已淘汰的PyExecJS进行高保真逻辑验证——强调工具是骨架，而对输入输出的细致比对与语义理解，才是穿透层层混淆、抵达原始逻辑的关键所在。

AST反混淆：Python解析JS代码必须先过esprima或slimit这关

直接用ast模块解析JS会报错——Python原生ast只认Python语法。JS代码得先转成AST对象，再遍历修改。推荐用esprima（JavaScript写的解析器，需Node调用）或纯Python的slimit（已停更但够用）/ esprima-python（轻量封装）。别碰pyjsparser，它对箭头函数、解构赋值支持极差，遇到=>或{a,b}就直接抛ParseError。

实操建议：

• Webpack打包后的代码常含__webpack_require__和数字ID模块引用，先用正则提取__webpack_modules__[数字]对应函数体，再喂给AST解析器
• 混淆变量名如_0x12ab、a、o，本质是作用域内重复赋值+字符串数组查表，AST里找AssignmentExpression节点，看右值是不是MemberExpression访问['_0x12ab','xxx'][数字]
• 别在AST遍历中直接del节点——slimit的visitor模式不支持原地删，得用replace返回新节点

Webpack模块抠取：绕过__webpack_require__.d和__webpack_require__.r的定义干扰

Webpack 4+默认启用__webpack_require__.d(exports, 'xxx', function() { return yyy; })来定义导出，而__webpack_require__.r用于标记ESM模块。直接正则替换__webpack_require__会破坏模块依赖链，导致还原后逻辑跑不通。

实操建议：

• 先定位var __webpack_modules__ = {起始位置，用括号匹配找到完整对象字面量（注意嵌套大括号），再JSON.parse前把function关键字替换成function_避免语法错误
• 遇到__webpack_require__.d调用，提取第三个参数函数体，把它挂到对应key的exports上，而不是留着调用语句——还原目标是可执行逻辑，不是复刻打包器行为
• 若模块使用eval或new Function动态执行字符串，必须提取该字符串并单独解析，否则AST遍历会漏掉加密核心逻辑

还原加密函数：识别atob/btoa、异或循环、Base64索引映射的常见模式

JS逆向中90%的“加密”其实是编码混淆：比如用自定义字符表做Base64替换（"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"被改成"LVoJPiCN2R8G90B3WUre7yD4oKqk6ZsfX1tYgHlAbI5dM8QxzEFOvNu6"），或对字符串逐字节异或一个固定数。这些没法靠AST自动推导，得人工比对输入输出找规律。

实操建议：

• 在还原后的函数里搜atob、btoa、charCodeAt、fromCharCode、^、% 256，这些是典型信号
• 遇到str.split('').map(...).join('')且中间有charCodeAt运算，大概率是异或或位移，拿几个明文密文对试下ord(c) ^ key是否恒定
• 自定义Base64表还原时，别手写映射字典——用str.maketrans生成翻译表，再bytes.translate处理，比循环快且不易错

Python跑JS逻辑：别硬刚V8，PyExecJS已死，PyMiniRacer才是现役方案

想验证还原结果是否和原JS一致？别用PyExecJS（依赖过时的execjs，Node版本稍高就报ReferenceError: window is not defined）。PyMiniRacer基于V8引擎，支持ES6+，且能传入globalThis模拟浏览器环境。

实操建议：

• 安装时加--no-binary pymini-racer，否则Windows上容易因预编译二进制不匹配崩溃
• 执行前先ctx.eval("var window = globalThis;")，再ctx.eval(还原后的JS字符串)，避免document或location未定义报错
• 如果JS里用了setTimeout或Promise，PyMiniRacer默认不处理异步，得手动ctx.eval("Promise.resolve().then(...)")并time.sleep等待，不如直接拆成同步逻辑还原

AST能帮你把乱码变结构化，但Webpack模块关系和加密意图还得靠人眼盯住输入输出对。最耗时间的永远不是解析，而是确认那个_0x4f3a[5]到底对应原始代码里的哪个字符串数组索引。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~