obfuscator: 未知变种 寻求来源后适配

[cocoyamnut]

样本

[echo094]

更新下代码

[cocoyamnut]

更新下代码

刚刚上传

[echo094]

是更新下这个工具的代码，最新代码的第254行不是你截图中的内容

[cocoyamnut]

是更新下这个工具的代码，最新代码的第254行不是你截图中的内容

代码已经是新的了

[echo094]

你现在用的是obfuscator_variant分支，这个是专门针对 #74 的版本的，你切换到main分支就行

[cocoyamnut]

你现在用的是obfuscator_variant分支，这个是专门针对 #74 的版本的，你切换到main分支就行

试过了

[echo094]

main分支的254行是下面这个，你明显没切过去，删了重新下吧

decode-js/src/plugin/obfuscator.js

Lines 250 to 255 in 478ced8

	function find2(refer_path) {
	if (
	refer_path.parentPath.isCallExpression() &&
	refer_path.listKey === 'arguments' &&
	refer_path.key === 0
	) {

[cocoyamnut]

main分支的254行是下面这个，你明显没切过去，删了重新下吧

decode-js/src/plugin/obfuscator.js

Lines 250 to 255 in 478ced8

	function find2(refer_path) {
	if (
	refer_path.parentPath.isCallExpression() &&
	refer_path.listKey === 'arguments' &&
	refer_path.key === 0
	) {

大佬我这还有一个样本

[cocoyamnut]

看起来非常像ob混淆的特征

[echo094]

https://note.ms/oxtj

它有一个和 #96 和 #100 类似的特征，即使用ForStatement替代WhileStatement，故猜测是同一系列的工具

待确定工具的来源后再进行适配（如果不是公开的工具，没什么普遍性，这边适配了，那边立马又更新了）

Index

https://imgservices-1252317822.image.myqcloud.com/coco/s06072022/26ccde4c.lst7lt.js