CN108694042A - 网页中的JavaScript代码解混淆方法 - Google Patents

Abstract

本发明涉及一种网页中的JavaScript代码解混淆方法，通过对脚本代码的解混淆处理来改进基于特征的静态检测方法。该方法首先对网页中的脚本代码进行格式化和语义的初步还原；然后，从脚本代码中确定每个混淆代码所对应的解混淆代码；并通过该解混淆代码还原隐藏在混淆代码中的原始代码。本发明能有效还原网页中隐藏在混淆代码中的原始代码，使原本被混淆的特征重新暴露出来，从而显著提高恶意网页检测引擎对存在混淆的恶意网页的检测率。此外，经过解混淆处理后的代码结构、语义、格式等方面都得到了改善，便于对其进行数据流和控制流分析，可与其他工具结合，辅助分析代码，提高效率，或作为浏览器插件，快速评估所浏览的网页，并给出安全性分析报告。

Description

网页中的JavaScript代码解混淆方法

技术领域

本发明涉及一种网页中的JavaScript代码解混淆方法。

背景技术

目前，有众多安全厂商推出基于特征的恶意网页检测引擎，这 类引擎能有效地检测出不包含混淆代码的恶意网页，在很大程度上保 护了互联网用户的信息安全。但恶意网页常使用混淆技术来混淆恶意 代码与解混淆代码，以此隐藏恶意代码的特征，从而避开恶意网页检 测引擎的检测。因此，有效检测包含混淆代码的恶意网页，对于保护 互联网用户的信息与系统安全具有重要的实际意义。

近几年国内外对恶意网页检测的研究工作主要采用机器学习的 方法，所使用的学习算法涵盖了常用的机器学习算法，如朴素Bayes、 随机森林RF、k-Means、k-近邻、LDA、SVM、概率神经网络等；使用 的特征来自网页的静态、动态、以及静态与动态混合等三类特征。这 些工作同样采用基于特征的方法，除个别用到JSBeautifier(该工 具用于美化代码显示风格)来获取混淆代码格式特征外，其余工作鲜 有对混淆代码的还原，也没有从中抽取特征，

网页常包含大量使用JavaScript语言编写的代码，而 JavaScript语言的动态性与弱类型的特点，使得检测包含混淆代码 的恶意网页充满挑战。首先，JavaScript语言的动态性使得网页中 的代码可以动态生成，即部分代码运行产生的数据可以是后继运行的代码。这个特点使得混淆代码与解混淆代码都能以数据的形式散布在 网页中，这些数据无明显特征，可读性差，增加了界定混淆代码与解 混淆代码的难度；其次，JavaScript语言的弱类型使得代码中的变 量类型在代码运行过程是可变的。这个特点使得包含混淆代码的数据 与用于生成解混淆代码的有关数据可能是异质，这导致混淆代码与解 混淆代码之间的关联关系弱化甚至不明确。另外，良性网页也经常使 用混淆方法来保护数据与知识产权，所以是否包含混淆代码不能作为 判定恶意网页的特征。因此，自动解混淆网页中所包含的混淆代码成 为有效检测包含混淆代码的恶意网页的技术关键。

发明内容

有鉴于此，本发明的目的在于提供一种网页中的JavaScript代 码解混淆方法，用以快速检测混淆代码并进行解混淆。

为实现上述目的，本发明采用如下技术方案：

一种网页中的JavaScript代码解混淆方法，其特征在于：

步骤S1：采集待处理网页的数据集合，包括标签内容、标签属 性值和JavaScript代码集；

步骤S2：根据采集的数据集合，显式化待处理网页中的 JavaScript代码标识符，找出隐藏在字符串对象中的可疑数据标识 符并进行显式表示；

步骤S3：采集网页中所有包含混淆代码的数据，并将这些数据 组成可疑数据集合；

步骤S4：根据显式化后的JavaScript代码标识符和可疑数据标 识符，确定解混淆函数序列；

步骤S5:对可疑数据集合中的可疑数据利用解混淆函数序列进行 多次解混淆处理，直到结果中不存在可疑数据为止，还原出包含在可 疑数据中的原始代码或数据。

进一步的，所述步骤S2采用后向切片方法回溯所述字符串对象的值 查找隐藏在字符串对象中的可疑数据标识符。

进一步的，所述包含混淆代码的数据满足以下条件：

1)数据的长度大于阈值；

2)数据存在唯一标识符；

3)该标识符包含在显示化后的JavaScript代码标识符中或由显示 化后的JavaScript代码标识符生成。

进一步的，所述确定解混淆函数序列，具体步骤为：

步骤S41：设可疑数据为s,可疑数据的标识符为id_s,显式化后的 JavaScript代码为JS′；

步骤S42:在代码的字符串对象中查找id_s或者id_s的片段；若JS′ 存在处理数据s的代码，则id_s以字符串形式出现在JavaScript代码 中，或者JavaScript代码中存在可拼接成id_s的若干字符串；

步骤S43:利用污染分析查找相关语句，得到处理可疑数据的解 混淆函数序列。进一步的，所述步骤S5具体为：

步骤S51：将解混淆函数序列改写为纯JavaScript环境下的代码；

步骤S52:将代码中包含在if语句判断条件中的DOM对象，采用保 守方法即用真值True代替DOM对象；

步骤S53:采用打印函数代替代码中的执行函数，得到改写后的解 混淆函数序列；

步骤S54：利用改写后的解混淆函数序列对可疑数据集合中的可疑 数据进行多次解混淆处理，直到结果中不存在可疑数据为止。

本发明与现有技术相比具有以下有益效果：

1、本发明速度快，过程开销小，过程安全，为线下解混淆，不 需要运行脚本代码，对系统无害。

2、本发明检测范围广：本发明适用于使用JavaScript语言编写 的各种经过混淆的脚本代码，也适用于利用不同混淆方法进行对代码 进行混淆的网页。

附图说明

图1是本发明流程图

图2是本发明一实施例的存在混淆的网页示例一图

图3是本发明一实施例的存在混淆的网页示例二图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

请参照图1，本发明提供一种一种网页中的JavaScript代码解 混淆方法，其特征在于：

步骤S1：采集待处理网页的数据集合，包括标签内容、标签属 性值和JavaScript代码集；

步骤S2：根据采集的数据集合，显式化待处理网页中的 JavaScript代码标识符，找出隐藏在字符串对象中的可疑数据标识 符并进行显式表示；

步骤S3：采集网页中所有包含混淆代码的数据，并将这些数据 组成可疑数据集合；

步骤S4：根据显式化后的JavaScript代码标识符和可疑数据标 识符，确定解混淆函数序列；

步骤S5:对可疑数据集合中的可疑数据利用解混淆函数序列进行 多次解混淆处理，直到结果中不存在可疑数据为止，还原出包含在可 疑数据中的原始代码或数据。

在本发明一实施例中，进一步的，所述步骤S2采用后向切片方 法回溯所述字符串对象的值查找隐藏在字符串对象中的可疑数据标 识符。

在本发明一实施例中，进一步的，所述包含混淆代码的数据满足以 下条件：

1)数据的长度大于阈值；

2)数据存在唯一标识符；

3)该标识符包含在显示化后的JavaScript代码标识符中或由显示 化后的JavaScript代码标识符生成。

在本发明一实施例中，进一步的，所述确定解混淆函数序列，具体 步骤为：

步骤S41：设可疑数据为s,可疑数据的标识符为id_s,显式化后的 JavaScript代码为JS′；

步骤S42:在代码的字符串对象中查找id_s或者id_s的片段；若JS′ 存在处理数据s的代码，则id_s以字符串形式出现在JavaScript代码 中，或者JavaScript代码中存在可拼接成id_s的若干字符串；

步骤S43:利用污染分析查找相关语句，得到处理可疑数据的解 混淆函数序列。在本发明一实施例中，进一步的，，所述步骤S5具 体为：

步骤S51：将解混淆函数序列改写为纯JavaScript环境下的代码；

步骤S52:将代码中包含在if语句判断条件中的DOM对象，采用保 守方法即用真值True代替DOM对象；

步骤S53:采用打印函数代替代码中的执行函数，得到改写后的解 混淆函数序列；

步骤S54：利用改写后的解混淆函数序列对可疑数据集合中的可疑 数据进行多次解混淆处理，直到结果中不存在可疑数据为止。

为了让一般技术人员更好的理解本发明的技术方案，以下结合附 图对本发明进行详细介绍。

在本发明一实施例中为了便于描述，对相关术语与符号作如下约定：

●H表示给定的一个网页，H中包含标签内容、标签属性 值、脚本字符串等数据；

●LData(n)表示网页H中长度超过n的数据集合；

●ID为网页H中所有数据标识符的集合；

●JS为网页H中所包含的所有JavaScript代码集，由全局 语句构成的代码块和函数共同构成；

●SData表示网页H中可能包含混淆代码的可疑数据集， 定义如下：

即当数据长度超过一定阈值，存在唯一标识符且该标识符能从脚 本代码中找到或由脚本代码生成，则判定其为可疑数据。其中，s表 示H中的可疑数据；id_s为可疑数据s的标识符；js为脚本中能够生 成id_s的代码块或函数；js→id_s表示脚本代码js包含或可生成可疑数 据的标识符id_s。

●DeOF_s表示SData中可疑数据s所对应的解混淆函数序 列，定义如下：

DeOF_s＝<f₁，f₂，...，f_n>

其中f_i∈JS,且f_i满足下列关系：

其中1≤i≤k＜j＜z≤n；s表示SData中的某个可疑数据， id_s为该可疑数据的标识符；d_o表示一个初始数据，一般为脚 本中的字符串，这个字符串经过代码中某个函数操作之后可产 生一个新的字符串；以此类推，d_i-1为函数序列中某个函数f_i返回的新字符串；最终，字符串d_k-1经过函数f_k操作后生成id_s， 至此找到可疑数据的标识符；f_k+1，f_k+2，...，f_n等函数满足条件： 任意给定z(k+1＜z＜n)，存在j(k+1≤j＜z)，函数f_j调用f_z。 函数子序列<f_k+1，f_k+2，...，f_n>组成的代码块对可疑数据s

进行解混淆处理后得到的结果记为p_s。将所有可疑数据经解混 淆处理后所得的数据集记为P，即：

显式化网页中JS代码标识符，旨在查找出可能隐藏在字符串对 象中的数据标识符、并显式地将其表示出来。在包含混淆代码的网页 中，JS代码常使用字符串重组操作来隐藏可疑数据的标识符。这意 味着对网页中的数据s，JS代码中可能不包含数据s的标识符id_s。因 此id_s不出现在JS代码中有两种情形：JS代码没有处理数据s或代码 中的id_s经过字符串重组操作被隐藏。如图2中，″wvsntqnyxhh″和 ″ofbhzhzejyliew″都是可疑数据的标识符，但在脚本代码中并未找到 与之匹配的字符串。

为了查找隐藏在字符串对象中的可疑数据标识符，本文利用后向 切片方法回溯所有字符串对象的值，基本思想如下：对于某个作用域 中语句的变量，只有当前语句执行之前的操作对其产生影响，求每个 变量的值，只需往回查找。由于字符串对象的值出现在赋值语句中或 作为函数参数来传递(如：a＝“abc”；或b＝c(“abc”)；)，在回溯过程中， 找出所有赋值语句和函数调用语句，对语句中的所有变量名和表达式 进行求值，若求得的值为字符串，则用它代替语句中的原变量名或表 达式。

在网页中确定所有可能包含混淆代码的数据，这些数据组成的集 合为可疑数据集合，该集合中的每一项数据为可疑数据。由于可疑数 据可能包含在网页的标签内容，标签属性值，代码中的字符串等，本 文判断数据包含混淆代码满足以下三个条件：

●数据的长度大于阈值n；

●数据存在唯一标识符；

●该标识符包含在显式化脚本代码JS′中或由JS′生成。

对于标签内容和标签属性值中的可疑数据，其标识符一般为标 签的“id”属性、“name”属性等，脚本代码中的可疑数据标识符则为存 储这些数据的变量名。如图2中div的内容满足以上条件，故判定它 可能是包含混淆代码的数据。算法2描述了确定包含混淆代码的可疑 数据集合的过程。

确定解混淆函数序列目的是对可疑数据集合中每一可疑数据s， 在显式化后的JS代码中确定用于处理数据s的所有代码。设可疑数 据s的标识符为id_s，若显式化后的JS代码中存在处理数据s的代码， 则id_s以字符串形式出现在JS代码中，或者JS代码中存在可拼接成id_s的若干字符串。图3中的span标签的“id”值“j3YKuhjABbnA”在代码 中就被拆分为“jABbnA”和“j3YKuh”两个片段。

确定解混淆函数序列的基本思想如下：在代码的字符串对象中查 找id_s或id_s的片段，并利用污染分析查找相关语句，得到处理可疑数 据的解混淆函数序列的完整代码。若id_s存在于全局语句中，则前向 查找该语句中所有变量的相关语句，若id_s存在于函数中，则查找与 函数体中所有未定义的变量相关的语句。由于JavaScript中，全局变 量和函数名常隐藏在window变量中，使得相关语句的查找产生偏差， 本文将window对象改写为其指向的具体变量或函数名。

对每一可疑数据利用所确定的解混淆函数序列还原出包含在其 中的代码或数据。得到的解混淆函数序列通常包含DOM对象和执行 代码的函数，为了便于离线处理，在解混淆前，首先将解混淆函数序 列改写为纯JavaScript环境下的代码；其次，对于影响解混淆结果的 包含在if语句判断条件中的DOM对象，采用保守方法即用真值True 代替DOM对象。第三，为了避免执行恶意代码对系统造成伤害，用 打印函数代替执行函数。改写后的函数能在JavaScript引擎中顺利运 行，并输出解混淆后的结果，以便进一步分析。算法4描述了对混淆 代码进行解混淆处理的具体过程。

网页中的恶意代码可能经过多次混淆，解混淆所还原的结果中还 可能包含混淆代码，递归地使用上述步骤处理还原结果，直到结果中 不存在可疑数据为止。事实上，解混淆过程还原出的数据集P可分成 三种情况：可疑代码集P_obf、无混淆代码集P_clear和纯数据集P_data。 其中P_obf是解混淆后的原始数据集P中能生成某个可疑数据标识符 的代码集合；P_clear是原始数据集P中不存在且无法生成可疑数据标 识符的代码集合；P_data是原始数据集P中不包含代码的纯数据集合。 由于P_obf中依然存在可疑数据，解混淆过程中可疑数据集SData将不 断扩充至SData′：

SData′＝SData∪SData_P

其中SData_P为P_obf中可疑数据的集合，当即SData′ 中的所有可疑数据经过解混淆处理后，即可使用基于特征的恶意检测 方法对无混淆代码集P_clear进行检测，而对P_data中数据的混淆处理我 们认为是正常的知识产权保护行为。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围 所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (5)

1.一种网页中的JavaScript代码解混淆方法，其特征在于：

步骤S1：采集待处理网页的数据集合，包括标签内容、标签属性值和JavaScript代码集；

步骤S2：根据采集的数据集合，显式化待处理网页中的JavaScript代码标识符，找出隐藏在字符串对象中的可疑数据标识符并进行显式表示；

步骤S3：采集网页中所有包含混淆代码的数据，并将这些数据组成可疑数据集合；

步骤S4：根据显式化后的JavaScript代码标识符和可疑数据标识符，确定解混淆函数序列；

步骤S5:对可疑数据集合中的可疑数据利用解混淆函数序列进行多次解混淆处理，直到结果中不存在可疑数据为止，还原出包含在可疑数据中的原始代码或数据。

2.根据权利要求1所述的一种网页中的JavaScript代码解混淆方法，其特征在于：所述步骤S2采用后向切片方法回溯所述字符串对象的值查找隐藏在字符串对象中的可疑数据标识符。

3.根据权利要求1所述的一种网页中的JavaScript代码解混淆方法，其特征在于：所述包含混淆代码的数据满足以下条件：

数据的长度大于阈值；

数据存在唯一标识符；

该标识符包含在显示化后的JavaScript代码标识符中或由显示化后的JavaScript代码标识符生成。

4.根据权利要求1所述的一种网页中的JavaScript代码解混淆方法，其特征在于：所述确定解混淆函数序列，具体步骤为：

步骤S41：设可疑数据为s,可疑数据的标识符为id_s,显式化后的JavaScript代码为JS′;

步骤S42:在代码的字符串对象中查找id_s或者id_s的片段；若JS′存在处理s的代码，则id_s以字符串形式出现在JavaScript代码中，或者JavaScript代码中存在可拼接成id_s的若干字符串；

步骤S43:利用污染分析查找相关语句，得到处理可疑数据的解混淆函数序列。

5.根据权利要求1所述的一种网页中的JavaScript代码解混淆方法，其特征在于：所述步骤S5具体为：

步骤S51：将解混淆函数序列改写为纯JavaScript环境下的代码；

步骤S52:将代码中包含在if语句判断条件中的DOM对象，采用保守方法即用真值True代替DOM对象；

步骤S53:采用打印函数代替代码中的执行函数，得到改写后的解混淆函数序列；

步骤S54：利用改写后的解混淆函数序列对可疑数据集合中的可疑数据进行多次解混淆处理，直到结果中不存在可疑数据为止。