1.jscrambler(商业):链接:https://jscrambler.com/
https://www.jshaman.com/guide.html
控制流混淆对于逻辑的处理能够增大分析难度,原理上其实就是分析js得到语法树,通过操控语法树,比如对于if---case---变为switch-----case等;但是如果规则被攻击者识破,也是会比较危险;至于多态变异其实就是多样随机性。
http://ty2y.com/obfuscate/#how-to-use
这个重点强调了虚拟机,其实虚拟机的思路也比较好理解:这里只说虚拟机的思路i:
这个可能是目前看到应该是js vmp最强的,这种方案其实也是很好理解的,比如对于一个js代码来说,我们只用js操作写一个基于栈的解释器,然后对于本身要保护的js进行虚拟化,定义一堆自定义操作,这个时候其实还是比较弱,因为全部是js写的暴漏在攻击者面前;
这个时候的一个大致的想法是我们可以把虚拟机解释器这部分用C/c++来实现,通过Emscripten 处理为webasembly,这个时候的分析难度就会增加很多,并且中间嵌套我们自己设计的opcode.这样就安全很多。如果再结合别的一些保护方案,效果应该会很不错,但是毕竟webasem这种文件的格式是公开的,可能这种方案的持久性不行,并且各个浏览器的兼容也是一大问题;当然后期也可以针对webasembly再进行处理,这就另当别论了。
https://segmentfault.com/a/1190000015216576#articleHeader8
腾讯防水墙这个根据自己的业务需求,以及动态多样性与服务端结合相当于混淆保护出多套,每次请求下发的时候根据前后端的标识每次都不一样。 结合服务端针对多样性来增加难度;
这里就不评论分析了,因为他们可能重点在APP相关的dex、so以及手游相关的文件上;
像其他的一些大厂比如阿里这种肯定做了jsVMP,因为他们的需求太强烈了,以及国外的一些厂商。
对于js这种语言来说,由于语言本身的特殊性,一定的保护是非常必要的,再结合浏览器本身的发展,为了性能会在编译上做处理,引入本地层的东西,比如谷歌的V8,火狐的 asm.js, 在安全性上:业务上更多的结合服务端动态特性以及客户端强大的静态代码保护的设计会达到一个比较好的效果。