👩🏽‍🎤 🥢 📟 हम वेब एप्लिकेशनों के क्लाइंट भाग को छिपाते हैं, उसे बाधित करते हैं और क्रिप्ट करते हैं 🙎🏻 🤘 ✌🏽

किसी कार्यक्रम के स्रोत कोड को कम करना एक प्रकार का रूप है जो इसकी कार्यक्षमता को बनाए रखता है, लेकिन विश्लेषण, कार्य एल्गोरिदम की समझ और अपघटन के दौरान संशोधन को जटिल बनाता है। जैसा कि जावास्क्रिप्ट पर लागू होता है, इस तकनीक का उपयोग इस तरह के छाया ऑनलाइन व्यवसायों में डाउनलोड (iframes), स्पैम और एसईओ के रूप में किया जाता है। आज के लिए हमारा कार्य जेएस कोड को छिपाने के सभी तरीकों को सीखना है, जो मुझे आशा है कि आप केवल अच्छे के लिए उपयोग करेंगे।

अस्पष्ट स्क्रिप्ट

सिद्धांत

सबसे पहले, हम अपने लिए कुछ सवालों के जवाब देंगे:
1. हम क्या छिपाएंगे?
हम वेब एप्लिकेशनों के केवल क्लाइंट भाग को छिपाएंगे, अर्थात एक साधारण उपयोगकर्ता आखिरकार अपने कंप्यूटर पर क्या डाउनलोड करेगा।
निम्न तकनीकों को इस प्रकार के लिए जिम्मेदार ठहराया जा सकता है:

पृष्ठ का HTML कोड;
जावास्क्रिप्ट कोड / जेएस पृष्ठ फाइलें;
पृष्ठ का CSS कोड / CSS फाइलें;
छवियाँ और अन्य जानकारी (केवल "डेटा" प्रोटोकॉल का समर्थन करने वाले ब्राउज़रों में)।

2. किससे छिपाना है? यह सब जानकारी छिपाने के लिए उचित है:

एंटीवायरस (यदि यह एक आइफ्रेम या अन्य दुर्भावनापूर्ण स्क्रिप्ट है);
अन्य लोग (उदाहरण के लिए, यदि आपने एक अद्भुत जावास्क्रिप्ट स्क्रिप्ट लिखी है और नहीं चाहते हैं कि कोई इसे काटे)।

3. छिपी हुई जानकारी की सुरक्षा आप कैसे सुनिश्चित कर सकते हैं?
आप सुनिश्चित नहीं हो सकते
क्यों? क्योंकि उपयोगकर्ता द्वारा डाउनलोड की जाने वाली सभी जानकारी अभी भी ब्राउज़र द्वारा निष्पादित की जाती है। इसका मतलब यह है कि भले ही आप जानकारी को बहुत ही जटिल तरीके से एन्क्रिप्ट / छिपाएँ, इसका मतलब यह नहीं होगा कि आपका कोड पढ़ा नहीं जा सकता है। किसी भी मामले में पढ़ना संभव होगा, आप केवल इस रीडिंग को जटिल कर सकते हैं। बस कठिनाई के इन तरीकों के बारे में हम बात करेंगे।
4. सिद्धांत में क्रिप्टो / मोटापे की प्रक्रिया कैसे होती है?
दो अलग-अलग चरण हैं: एक बाधित / क्रिप्टेड कोड बनाना और इसे सामान्य ब्राउज़र निष्पादन के लिए डिक्रिप्ट करना। हम PHP स्क्रिप्ट का उपयोग करते हुए obfuscated कोड उत्पन्न करेंगे, हालांकि यह कुछ भी उपयोग करके किया जा सकता है। लेकिन कोड निष्पादन का डिक्रिप्शन जावास्क्रिप्ट में लिखा जाना चाहिए: इस मामले में, स्क्रिप्ट, संक्षेप में, खुद को डिक्रिप्ट और निष्पादित करेगा।

JJEncode काम करते हैं

बेसिक HTML / CSS एन्क्रिप्शन

अगर हमें HTML या CSS कोड को एन्क्रिप्ट करने की आवश्यकता हो तो क्या होगा? सब कुछ सरल है: जावास्क्रिप्ट में एन्क्रिप्ट, और HTML कोड के रूप में डिक्रिप्शन पेस्ट के बाद।
उदाहरण डालें (बिना एन्क्रिप्शन / क्रिप्ट / ऑब्सफिकेशन के):

<html> <script> var html = '<center><h3> -</h3></center>'; //    "html" ,    document.getElementsByTagName('html')[0].innerHTML = html; //    <html>  </html> </script> </html>

हम CSS शैलियों के साथ भी ऐसा ही करेंगे:

 <html><script> var css = 'body{margin:0px;}.subcl{padding:5px;}'; //    "css" ,    document.getElementsByTagName('html')[0].innerHTML = '<style>'+css+'</style>'; //    <html>  </html> </script> </html>

अब हम HTML और CSS को अनदेखा करने की कोशिश करेंगे और केवल सार के बारे में बात करेंगे - पहले छिपाना, और फिर जावास्क्रिप्ट को क्रिप्ट करना।
इससे पहले कि कोई हमारे कोड को देखना और डिक्रिप्ट करना चाहता है, वह उसे खोजने की कोशिश करेगा। नीचे आपको जिज्ञासु उपयोगकर्ताओं की आंखों से कोड छिपाने के कुछ प्रभावी तरीके मिलेंगे।

हम दस्तावेज़ के शरीर में "] [akep" शब्द छिपाते हैं

प्रतिस्थापित करना <script> टैग विशेषताएँ

सब कुछ बहुत सरल है, लेकिन इसे अच्छा या औसत संरक्षण नहीं माना जा सकता है, क्योंकि यह उपयोगकर्ताओं की लापरवाही पर केंद्रित है।
सिद्धांत ही बिलकुल सरल है। हमारे पास एक पृष्ठ ("index.html") और एक जावास्क्रिप्ट फ़ाइल है जिसका कोड हम छिपाना चाहते हैं ("script.js")। "Index.html" पेज पर हमने संकेत दिया है:

 <script type="text/javascript" src="./script.js"></script>

और अब बस "टेक्स्ट" फ़ोल्डर बनाएं, जिसमें हम अपनी स्क्रिप्ट ("script.js") को "जावास्क्रिप्ट" नाम से डालते हैं और विशेषताओं को स्वैप करते हैं। यह इस तरह दिखेगा:

 <script src="text/javascript" type="./script.js"></script>

सर्वोत्तम प्रभाव के लिए, तुरंत उपयोगकर्ता का ध्यान पथ पर मोड़ें। उदाहरण के लिए, इस तरह:

 <script src="text/javascript" type="http://host.com/////////script.js"></script>

व्यक्तिगत अनुभव पर परीक्षण: महान काम करता है! इस तरह, मैं स्वयं क्लिकों के लिए संबद्ध प्रोग्राम को समाप्त कर देता हूं, क्योंकि मुझे जावास्क्रिप्ट में एक धोखा इंजन का उपयोग करना था। सहबद्ध प्रशासन ने उसे नहीं देखा :)।

जावास्क्रिप्ट हैंडलर

यह विधि जेएस-कोड को छिपाने के लिए एक सार्वभौमिक उपकरण भी नहीं है, लेकिन फिर भी मैं इसके बारे में बात करूंगा। मुख्य विचार onLoad, onClick, आदि ईवेंट हैंडलर्स के अंदर कोड छिपाना है। अर्थात्, निम्नलिखित डिज़ाइनों में लगभग:

 <body onLoad="alert(1);"></body> <textarea onClick="alert(1);"></textarea>

उदाहरण के लिए, बॉडी और फ्रेमसेट टैग के लिए, एक ओनलॉड हैंडलर है जो पेज या फ्रेम को लोड करने के बाद उसमें निर्धारित कोड को चलाएगा।
मैं ध्यान देता हूं कि हैंडलर सभी वस्तुओं के लिए समान नहीं हैं।

कुकी, रेफ़रर और पता

जावास्क्रिप्ट को गैर-मानक स्थानों जैसे कुकी (डॉक्यूमेंट.कॉकी), रेफ़रर (डॉक्यूमेंट.रेफ़रर) और पेज एड्रेस (लोकेशन) में भी छिपाया जा सकता है। इस स्थिति में, कोड को सादे पाठ के रूप में संग्रहीत किया जाएगा, और eval () फ़ंक्शन का उपयोग करके निष्पादित किया जाएगा, जो पाठ को एक तर्क के रूप में लेता है और इसे जावास्क्रिप्ट कोड के रूप में निष्पादित करता है।
एक उदाहरण के रूप में, आइए ऐसी धारणा लें कि हमारे पास पहले से ही निम्नलिखित प्रकार के कुकीज़ हैं:

 cookievalue=||alert(1);||

अब इस अलर्ट को इस प्रकार निष्पादित करें:

 <script>eval(unescape(document.cookie).split("||")[1]);</script>

यहां हम अपने मेजबान के लिए सभी कुकीज़ का पाठ लेते हैं और इसे उन स्थानों में भागों में विभाजित करते हैं जहां ""। फिर हम दूसरा तत्व लेते हैं ([1]) और इसे eval () के माध्यम से चलाते हैं।
यह विधि इतनी बुरी नहीं है, क्योंकि जिस कोड को हम निष्पादित करना चाहते हैं वह पृष्ठ पर ही दिखाई नहीं देता है, और इसलिए भी कि हम कोड को स्वयं हटाने के लिए बाध्य कर सकते हैं! कार्यान्वयन उदाहरण:

 <?php //    JavaScript- +   (  123) setcookie('cook', '||alert(1);document.cookie="cook=123";||'); ?> <script> //    . eval(unescape(document.cookie).split('||')[1]); </script>

इसी तरह, आप जावास्क्रिप्ट के माध्यम से उपलब्ध अन्य लाइनों का उपयोग कर सकते हैं, उदाहरण के लिए, location.href और document.referrer।

छिपाना अजाक्स कोड

इस स्थिति में, कोड एक अलग फ़ाइल में होगा, और इसे इस फ़ाइल को पढ़ने और इसके सामग्री को eval () फ़ंक्शन के साथ निष्पादित करके लॉन्च किया जाएगा।
हमें छिपे हुए कोड के साथ एक पेज बनाना होगा, साथ ही इस कोड को चलाने के लिए फ़ंक्शन के साथ एक पेज बनाना होगा:

जिस कोड को हम छिपाना चाहते हैं (नाम "l" के साथ):
```
 alert(1); 
```

कोड कॉल के साथ पेज:

 <script>function x(){try{return new XMLHttpRequest();}catch(e){try{return new ActiveXObject('Msxml2.XMLHTTP');}catch(e){try{return new ActiveXObject('Microsoft.XMLHTTP');}catch(e){return null;}}}};function y(){var z=x();if(z){z.open('get','./l');z.onreadystatechange=function(){if(z.readyState==4){ eval(z.responseText);}};z.send(null);}};y();</script>

यह विधि एक अलग फ़ाइल में कोड छिपाती है (हमारे मामले में, "एल")। बेशक, आप फ़ाइल पथ ढूंढ सकते हैं और इसे खोल सकते हैं, लेकिन जब इस तरह के कोड को बाधित किया जाता है, तो फ़ाइल नाम ढूंढना काफी मुश्किल है।

Nullbyte Opera पर हमला करती है

यह विधि सरल और काफी प्रभावी है, लेकिन, दुर्भाग्य से, यह केवल ओपेरा ब्राउज़र के लिए डिज़ाइन किया गया है। विधि का सार कोड को छिपाए जाने से पहले तथाकथित नल बाइट को लगाना है (अशक्त बाइट या अशक्त ASCII कोड "0" के साथ एक चरित्र है)। क्यों? फिर, कि ओपेरा इस प्रतीक के बाद अंतर्निहित दर्शक में कोड नहीं दिखाता है। एक उदाहरण:

 <html> - </html> <?php echo(chr(0)); ?> <script>alert(1); /*     */</script>

इस उदाहरण में, पहले सामान्य कोड आता है, जिसे हमें छिपाने की आवश्यकता नहीं है। फिर PHP की मदद से हम null बाइट डालते हैं, और इसके बाद हिडन कोड आता है।

HTML कोड और टिप्पणियों में छिपा

आप आसानी से HTML में कोड छिपा सकते हैं, फिर इसे संसाधित करें और इसे निष्पादित करें। उदाहरण के लिए, इस तरह:

 <body><img src="./pict.jpg" a="al" b="er" c="t(1);"></body> <script>a = document.body.innerHTML; eval(a.split('a="')[1].split('"')[0]+a.split('b="')[1].split('"')[0]+a.split(' c="')[1].split('"')[0]);</script>

इस मामले में, हमने कोड को img टैग की विशेषताओं में छिपा दिया, जिसके बाद हमने बिखरे हुए टुकड़ों को इकट्ठा करते हुए पूरे पृष्ठ के कोड को संसाधित किया। उसी तरह, आप HTML / JavaScript टिप्पणियों में पाठ छिपा सकते हैं:

   HTML: <!-- alert(1); -->   JavaScript: // alert(1); /* alert(1); */

अलग-अलग, यह ध्यान देने योग्य है कि आप लोकप्रिय फ्रेमवर्क के अंदर कोड को प्रभावी ढंग से छिपा सकते हैं - उदाहरण के लिए, jQuery, mooTools और पसंद। ये फाइलें संदिग्ध नहीं हैं, और उनकी जांच में बहुत समय लगेगा (हालांकि मूल और संशोधित प्रविष्टि की तुलना स्वचालित रूप से करने की संभावना हमेशा होती है)।
अब, मुझे लगता है, हम इस बारे में बात कर सकते हैं कि अंत में, सुरक्षा विशेषज्ञ क्या देखता है, और कौन से एंटीवायरस शोध कर रहे हैं। जेएस कोड को क्रिप्ट करने और बाधित करने के सबसे लोकप्रिय तरीकों के बारे में नीचे पढ़ें।

मानक जावास्क्रिप्ट कार्यों / विधियों का प्रतिस्थापन

यह विधि मानक जावास्क्रिप्ट कार्यों या विधियों के बजाय इसके चर को प्रतिस्थापित करने पर केंद्रित है:

  : <script>document.getElementsByTagName("html")[0].innerHTML = document.getElementsByTagName("body")[0].length;</script>  : <script>a=document;c='getElementsByTagName';a[c]("html").innerHTML = a[c]("body")[0].innerHTML.length;</script>

इस स्थिति में, हमने "डॉक्यूमेंट" ऑब्जेक्ट को वेरिएबल "a", और getElementsByTagName विधि को वेरिएबल "c" से बदल दिया। यह ध्यान दिया जाना चाहिए कि तरीकों (जो एक बिंदु से शुरू होता है, उदाहरण के लिए, .length या .getElementsByTagName) को सरणी में एक कुंजी की परिभाषा से बदला जा सकता है (यदि हम ऑब्जेक्ट को एक सरणी के रूप में मानते हैं)। यदि हमारे पास "दस्तावेज़" ऑब्जेक्ट है, और इसमें एक getElementsByTagName तत्व है, तो इसका मतलब है कि हम इसे दो तरीकों से कॉल कर सकते हैं:

document.getElementsByTagName
document['getElementsByTagName']

यह इस प्रकार है कि दूसरी विधि में हम स्ट्रिंग डेटा ("getElementsByTagName") का उपयोग करते हैं, इसलिए, उन्हें स्ट्रिंग वाले चर के साथ बदला जा सकता है - विधि का नाम।
एक ही मानक वस्तु / फ़ंक्शन / चर के लगातार उपयोग के मामले में प्रतिस्थापन उपयोगी है। यह कोड को बहुत बदल देता है और इसे संपीड़ित भी करता है।

बाढ़ की टिप्पणी और कोड

इस पद्धति को एक बाढ़ को ओफ़्फ़ुसेटेड कोड में डालने के लिए डिज़ाइन किया गया है, अर्थात्, ऐसा कुछ जो स्क्रिप्ट कोड के लिए सिमेंटिक लोड नहीं करता है। आप कोड और टिप्पणी दोनों को भर सकते हैं:

  : <script>/* pOIEPGpmkG13Pg */ a /* PGpmkG13Pggweg */ = /* mkG13Pg */ 'hahaha' /* pOIE13Pg */ ; /* wegEGoh */ alert /* oiwboierhper */ ( /* igwepreorh */ a /* wbnponrhR */ ) /* inboierh */ ; /* roinero */</script>  : <script> weoibog = 'gwrobgoerh'; a = 'hahaha'; bfionb = 'wgeogioweg'; alert(a);

इस मामले में, टिप्पणी धागा बहुत घना है, हालांकि वास्तव में कोड बहुत सरल था: " a = "hahaha"; alert(a); a = "hahaha"; alert(a); "।
बाढ़ कोड भी बाढ़ टिप्पणियों में हस्तक्षेप कर सकता है। यदि वांछित है, तो आप अपने जावास्क्रिप्ट कोड में बाढ़ को जोड़ने के लिए एक PHP फ़ंक्शन लिख सकते हैं। व्यक्तिगत रूप से, मैंने अंग्रेजी ब्लॉग से कुछ लेख लिया, शब्दों के लिए parls, और फ़ंक्शन ने टिप्पणियों में इन शब्दों की एक यादृच्छिक मात्रा को जोड़ा।
वैसे, "नकली बंद" के रूप में बहु-पंक्ति टिप्पणियों का उपयोग करने की भी सलाह दी जाती है।

 /*/ alert(1); /*/ alert(2); /*/ alert(3); /*/

कौन सा नंबर दिखाएगा अलर्ट? :)

सतर्क काम को बाधित किया

हेक्साडेसिमल कोड के साथ पाठ की जगह

मैं इस बिंदु को पाठ को परिवर्तित करने के कुछ अन्य तरीकों से संदर्भित करना चाहता था, लेकिन मैंने इसे केवल एक ही छोड़ दिया, क्योंकि यह एकमात्र एन्क्रिप्शन विधि है जिसे डिक्रिप्शन के लिए सहायक कार्यों की आवश्यकता नहीं है:

 <script> alert(document["\x63\x6F\x6F\x6B\x69\x65"]); </script>

इस मामले में, हम - पहले, सरणी के एक तत्व के रूप में दस्तावेज़ ऑब्जेक्ट के आंतरिक कुकी चर का उपयोग किया। दूसरे, हमने उसका नाम हेक्साडेसिमल में बदल दिया। अगर हम कुकी चर का उपयोग डॉक्यूमेंट के रूप में करते हैं, अर्थात डॉक्यूमेंट.कोकी के रूप में, तो हम कॉल को हेक्साडेसिमल फॉर्मेट में परिवर्तित नहीं कर पाएंगे, क्योंकि यह केवल स्ट्रिंग्स पर लागू होता है (सरणी में, कुंजी एक स्ट्रिंग है, लेकिन दस्तावेज़ के लिए। कुकी कोई रेखा नहीं।
PHP समारोह हेक्साडेसिमल प्रारूप में बदलने के लिए:

 <?php function cescape($s) { foreach (str_split($s,1) as $sym) { $d = dechex(ord($sym)); $c[] = (strlen($d) == 1) ? '0'.$d : $d; } return (''.'\\'.implode(''.'\\',$c)); } ?>

कोई नहीं सुविधाओं के साथ एक चाल

जैसा कि हम पहले से ही ऊपर पढ़ने से जानते हैं, आप ऑब्जेक्ट के तत्वों के रूप में जावास्क्रिप्ट में कॉल कर सकते हैं: document.getElementById और डॉक्यूमेंट ['getElementById']। दोनों विकल्प व्यावहारिक रूप से समान हैं, अंतर केवल रिकॉर्ड में है - दूसरे विकल्प में हम एक स्ट्रिंग का उपयोग करते हैं।
एक शाम, मैं इन पंक्तियों को पाने के लिए एक बहुत ही दिलचस्प तरीके से आया। उदाहरण के लिए, हमें उपरोक्त “getElementById” को एन्क्रिप्ट करना होगा। आइए इस उदाहरण का उपयोग करते हुए इस विधि की एक छोटी व्याख्या के लिए खुदाई करें:

 <script> a = b(c(d())); </script>

यह स्क्रिप्ट काम नहीं करेगी, क्योंकि फ़ंक्शन बी, सी और डी पहले घोषित नहीं किए गए हैं। चलिए अब इस कोड को बनाने की कोशिश करते हैं, इसके लिए हम {} कैच () {} कंस्ट्रक्शन की कोशिश के सैंडबॉक्स का उपयोग करेंगे:

 <script> try{a = b(c(d()))}catch(e){alert(e);} </script>

शुरू करने के बाद, हम एक त्रुटि देखेंगे, जिसका अर्थ है कि, हालांकि कोड काम नहीं कर रहा है, लेकिन यह शेष सही भाग के निष्पादन को नहीं रोकता है।
और अब हम खुद से पूछते हैं कि इस तरह की स्कीम को "getElementById" स्ट्रिंग के एन्क्रिप्शन से कैसे जोड़ा जा सकता है? और इसलिए:

 <script>try{(getE(leme(ntB(yId()))))}catch(e){x = (e+'').split('(').slice(1,5).join('');}</script>

इस कोड को निष्पादित करने के बाद, हमें "xE" वेरिएबल में "getElementById" स्ट्रिंग मिलती है।
इस विधि का नमक क्या है? तथ्य यह है कि कार्यों का पता लगाने पर एंटीवायरस के हेयुरिस्टिक विश्लेषण यह शपथ लेंगे कि वे मौजूद नहीं हैं। इस प्रकार, हम कोड को अलग-अलग तरीकों से तार को एन्क्रिप्ट करने के स्तर पर नहीं, बल्कि जावास्क्रिप्ट से ही इन तारों को प्राप्त करने के स्तर पर मानते हैं।

~ ऑपरेटर का उपयोग कर नंबर

ऑपरेटर "~" (टिल्ड) थोड़ा नकारात्मक है और इसका उपयोग इस तरह किया जाता है: "अलर्ट (~ 13")। " यह कोड हमें "-14" प्रिंट करेगा। यह ऑपरेटर "- (संख्या + 1)" के सिद्धांत पर काम करता है।
कल्पना करें कि हम एक "कुछ संख्या" और इस संख्या को लिखने के लिए एक चर निर्दिष्ट करना चाहते हैं: "a = ~ []];
यह कोड चर "ए" संख्या "-1" प्रदान करेगा। क्यों? क्योंकि सरणी संख्यात्मक मान "0" के साथ एक तटस्थ तत्व है, इसलिए, ~ 0 "- (0 + 1)", यानी -1 के बराबर है।
अन्य रूपांतरणों के उदाहरण:

 a = ~[]; // -1 a = -~[]; // 1 a = []^[]; // 0 a = ~~[]; // 0 a = ~true; // -2 a = ~false; // -1 a = -~[]*(""+-~[]+-~-~-~-~-~[]+-~-~true); // 153

स्ट्रिंग डेटा के बिना पत्र और तार

कभी-कभी इसे स्पष्ट रूप से वर्तनी के बिना एक पत्र / प्रतीक या कुछ पाठ प्राप्त करने की आवश्यकता होती है। यह एक जावास्क्रिप्ट सुविधा के साथ किया जा सकता है। इस भाषा में, विभिन्न इंट्रा-सिस्टम संदेश हैं जिन्हें पाठ में परिवर्तित किया जा सकता है, और फिर संसाधित किया जा सकता है।
उदाहरण के लिए, मान लें कि हमें "कोड" प्राप्त करने की आवश्यकता है। यह लाइन charCodeAt (), fromCharCode (), और अन्य जैसे तरीकों के नामों में निहित है। आप निम्नानुसार पाठ प्राप्त कर सकते हैं:

 a = (alert+'').split("ive ")[1].substr(0,4);

इस उदाहरण में, चर "a" में पाठ "कोड" होगा। हम और अधिक विस्तार से विश्लेषण करेंगे। इस कोड को निष्पादित करने का प्रयास करें: "अलर्ट (अलर्ट + ')"; ”। आपको "फंक्शन अलर्ट () {[नेटिव कोड]}" जैसा कुछ दिखाई देगा। इस प्रकार, केवल दो बार अलर्ट () फ़ंक्शन का उपयोग करके, हमें पूरी तरह से अलग-अलग वर्ण मिले।
अब यह समझने की कोशिश करते हैं कि यह कैसे काम करता है। कल्पना करें कि जावास्क्रिप्ट में हर वस्तु, कार्य और बाकी सभी चीजों का एक निश्चित "विवरण" है। इसे एक्सेस करने के लिए, आपको स्पष्ट रूप से इस ऑब्जेक्ट या फ़ंक्शन के प्रकार को स्ट्रिंग में जोड़ना होगा, जोड़ना, उदाहरण के लिए, एक खाली स्ट्रिंग (+ ")"।

स्ट्रिंग एन्क्रिप्शन

जावास्क्रिप्ट में स्ट्रिंग को एन्क्रिप्ट / डिक्रिप्ट करने के लिए कई उपयोगी कार्य हैं। आइए उनमें से कुछ का विश्लेषण करें:

 escape(); //    URL unescape(); //  URL- encodeURI(); //    URI decodeURI(); //  URI-

स्ट्रिंग ऑब्जेक्ट की दो विधियाँ भी हैं जो ASCII कोड में एक वर्ण को परिवर्तित करने के साथ काम करती हैं और इसके विपरीत:

 a = String.fromCharCode(97); b = "b".charCodeAt();

यह विचार करने योग्य है कि तार को .match और .replace विधियों के संयोजन में नियमित अभिव्यक्तियों के साथ परिवर्तित किया जा सकता है। अन्य तरीकों को स्ट्रिंग द्वारा खोजने के लिए, बल्कि, जिम्मेदार ठहराया जा सकता है।

कन्वर्ट ऑब्जेक्ट्स / चर

ऑब्जेक्ट्स और वेरिएबल्स के नाम भी स्ट्रिंग में परिवर्तित हो सकते हैं (उदाहरण के लिए, बाद में इस स्ट्रिंग को एन्क्रिप्ट करने के लिए)। रूपांतरण उसी सिद्धांत के अनुसार होता है, जो विधि के नाम के रूपांतरण के रूप में होता है, जो कि रूप "विधि" से संक्रमण के माध्यम से "[विधि]" होता है। सही रूपांतरण के लिए, आपको वस्तुओं के पदानुक्रम में एक और भी उच्च तत्व खोजने की आवश्यकता है जिसके अंदर "दस्तावेज़" शब्द होगा। उसका नाम बताइए। जावास्क्रिप्ट मानकों के अनुसार, यह एक वस्तु नहीं है, लेकिन एक ऑपरेटर जो किसी वस्तु का संदर्भ देता है। परिणामस्वरूप, अब हम सुरक्षित रूप से getElementById का उपयोग इस प्रकार कर सकते हैं: "यह [" दस्तावेज़ "] [" getElementById "]।

कोड बाइंडिंग

कभी-कभी कोड लिखना आवश्यक हो जाता है ताकि कुछ शर्तों के पूरा होने के बाद ही इसे निष्पादित किया जाए। उदाहरण के लिए, हमने जावास्क्रिप्ट कोड बनाया और इसे बेचना चाहते हैं, लेकिन हम डोमेन के साथ एक बंधन के साथ बेचना चाहते हैं ताकि इसे अन्य साइटों पर नहीं चलाया जा सके।
मैं एक बार फिर से दोहराता हूं: आप किसी भी पूर्ण सुरक्षा के साथ नहीं आ सकते हैं, सिद्धांत रूप में, केवल कुछ तरीके हैं जो प्रतिलिपि / अवैतनिक को कठिन बनाते हैं।
यहां कुछ प्रकार के ऐसे बाइंडिंग + डेटा दिए गए हैं, जिन पर वे निर्भर हैं:

डोमेन के लिए बाध्यकारी // location.href.split ('/') [2];
मापदंडों के लिए बाध्यकारी (# के बाद पृष्ठ पर पारित कर दिया?) // location.href.split ('#') [1] या स्थान.href.split ('?')। slice (1);
तारीख से बंधन // एक = नई तारीख ();
जावास्क्रिप्ट कोड के लिए बाध्यकारी //;
पूरे पृष्ठ के कोड के लिए बाध्यकारी // a = document.getElementsByTagName ('html') [0] .innerHTML;
ब्राउज़र बाइंडिंग // a = navigator.userAgent;
कुकीज़ के लिए बाध्य // document.cookie;
किसी भी अन्य बाइंडिंग के बारे में सोच सकते हैं।

संदिग्ध कार्यों से बचना

मैं आपको यह भी सलाह देता हूं कि फंक्शंस के स्पष्ट उपयोग से बचें (), डॉक्यूमेंट.राइट (), और अन्य। वास्तविक कोड की खोज करते समय, लोग अक्सर इन कार्यों के बजाय चेतावनी () प्रतिस्थापन विधि का उपयोग करते हैं, क्योंकि इसके बाद आप उस कोड को तुरंत पढ़ सकते हैं जिस तरह से हमने इसे एन्क्रिप्ट करना शुरू किया था, इसलिए, ओब्यूशन का पूरा बिंदु गायब हो जाता है। Eval () का उपयोग किए बिना कोड निष्पादित कैसे करें?
याद है कि इस के सिर पर यह ऑपरेटर है। इसका उपयोग करके, eval () फ़ंक्शन को इस कोड में बदला जा सकता है:

 a = this["\x65\x76\x61\x6C"];

इस तरह के रूपांतरण के बाद, हम सुरक्षित रूप से "eval ()" के बजाय "a ()" का उपयोग कर सकते हैं।

अपठनीय लाइनों में बदलें

Obfuscated कोड में, निम्नलिखित पात्रों और उनके संयोजनों का उपयोग पहचानकर्ताओं को इंगित करने के लिए किया जाना चाहिए:

"o", "O", "0"
"i", "I", "l", "1"
"_" (और वेरिएंट "__" , "___" ...)
"$" (और "$$" संस्करण, "$$$" ...)

ऐसे पात्रों का उपयोग करने के बाद, कोड को पढ़ना बहुत मुश्किल हो जाता है, खासकर यदि आप इसे संपीड़ित करते हैं, तो अतिरिक्त रिक्त स्थान और लाइन ब्रेक को हटा दें।

कोड एन्क्रिप्शन

पाठ को एन्क्रिप्ट करने के कई तरीके हैं, हालांकि ये सभी किसी भी पाठ / संख्यात्मक कार्यों के उपयोग पर आधारित हैं। अक्सर निर्माण कार्य: eval () + डिक्रिप्शन_फंक्शन () + एन्क्रिप्टेड_स्ट्रिंग। मैं अतिरिक्त पानी के बिना इनमें से एक तरीका दिखाने की कोशिश करूंगा।
मान लें कि हमें स्ट्रिंग को "अलर्ट (1)" एन्क्रिप्ट करने की आवश्यकता है। यह मेरे लिए हुआ कि मैं इसमें से दो पात्रों को ले जाऊं, उन्हें संख्याओं (एएससीआईआई कोड) में अनुवाद करूं, उन्हें पढ़ूं और उसके बगल में पहला पात्र साफ (बिना अनुवाद के) रूप में रखूं। बस इस बात का ध्यान रखें कि कोड को ऐसे दो अक्षरों वाले भागों में विभाजित करते हुए, हमें कोड को मूल से लगभग 2-2.5 गुना बड़ा मिलता है, और हमें यह नहीं भूलना चाहिए कि ऐसे ब्लॉकों को किसी भी तरह से अलग करना बेहतर है (सरणी तत्व के रूप में या विभाजक के माध्यम से)। विभाजक के लिए, हम "%" चिह्न लेते हैं, क्योंकि यह एन्क्रिप्टेड स्ट्रिंग को URL स्ट्रिंग की तरह बनाता है। आइए सरल PHP स्क्रिप्ट लिखें:

 <?php $a = "alert(1);"; $a = str_split($a, 2); $e = ''; foreach ($a as $v) { $e .= '%' . $v[0] . (ord($v[0])+ord($v[1])); } echo($e); ?>

यहाँ हमें क्या मिला: " %a205%e215%t156%190%;59 "।
और अब हम जावास्क्रिप्ट में इस कोड के लिए डिकोडर लिखेंगे:

 function d(s) { s = s.split('%').slice(1); c = ''; for (i = 0; i < s.length; i++) { c += s[0] + String.fromCharCode(s.substr(1)-s[0].charCodeAt()); } return c; }

इस मामले में कोड कॉल इस तरह दिखेगा: "eval (d ('205% e215% t15% t 190%; 59 ')";)।

अब यह केवल इस पूरी लिपि को थोड़ा आगे बढ़ाने के लिए है। हम वर्णित सभी विधियों का उपयोग नहीं करेंगे, लेकिन हम उनमें से कुछ पर ही स्पर्श करेंगे:

 z = '73706C697421736C696365216C656E6774682166726F6D43686172436F6465217375627374722163686172436F64654174'; _=''; for(__=0;__<z.length/2;__++){_+=unescape('%'+z[__*2]+z[__*2+1]);} _=_[_[0]+_[1]+_[2]+_[3]+_[4]]('!');function ___(__){__ = __[_[0]]('\x25')[_[1]](-~[]); _I='';for (_l=0;_l<__[_[2]];_l++){_I+=__[_l][0]+String[_[3]](__[_l][_[4]](1)-__[_l][0][_[5]]());}return _I;} this['\x65\x76\x61\x6C'](___('%a205%e215%t156%190%;59'));

आइए इस विस्तार से अपठनीय कोड के काम करने की प्रक्रिया पर अधिक विस्तार से विचार करें:

z = '....' यहां, चर को पाठ विभाजित किया गया है जो स्ट्रिंग स्प्लिट! स्लाइस का अनुवाद करके प्राप्त किया गया था! लंबाई !CCCCode! रूट! हेक्साडेसिमल रूप में charCodeAt (\ x73 \ x70 \ x6C \ x69 \ x74 ...) बिना "\" x ”;
_='';for(...} यहां हम बैक स्प्लिट का अनुवाद करते हैं! स्लाइस! लंबाई! फ्रॉम करेकोड! रूट; चारकोडेअट को वेरिएबल "_";
_=_...('!'); हम उन जगहों पर लाइन को विभाजित करते हैं जहां एक प्रतीक है "!";
function ___(__){...} फ़ंक्शन d () ऊपर वर्णित रूप से एक मोटे रूप में;
this['\x65\x76\x61\x6C'](....); एक स्ट्रिंग को डिकोड करना और कोड चलाना।

अंत में

खैर, संक्षेप में। इन सभी विधियों के संयोजन के साथ, आप 100% सुनिश्चित हो सकते हैं कि एक साधारण या औसत उपयोगकर्ता भी आपके कोड को स्वयं पढ़ या कॉपी नहीं कर पाएगा। लेकिन चूंकि कंप्यूटर सुरक्षा विशेषज्ञ इन चालों में से अधिकांश के बारे में अच्छी तरह से जानते हैं, और इसलिए भी क्योंकि मैंने इस जानकारी को सार्वजनिक प्रदर्शन पर रखा है, इसलिए मैं यह मान सकता हूं कि ये विधियां अधिक लोकप्रिय और प्रसिद्ध हो जाएंगी। मुझे आशा है कि आप अच्छे उद्देश्यों के लिए प्रदान की गई जानकारी का उपयोग करने में सक्षम होंगे।

स्क्रिप्ट को पठनीय बनाना

हैकर पत्रिका, सितंबर (09) 152
| क़ब्ज़ | (lopuxin.iv@yandex.ru, http://essenzo.net ) ।

हैकर की सदस्यता लें

हम वेब एप्लिकेशनों के क्लाइंट भाग को छिपाते हैं, उसे बाधित करते हैं और क्रिप्ट करते हैं