プログラミング

javascript-obfuscatorでJavaScriptスクリプトを難読化

投稿日: yuis

javascript-obfuscatorでJavaScriptスクリプトのプログラム・コードを難読化する方法について紹介します。

JavaScriptはクライアントサイドなので、暗号化はできない。
一応調べたけど、やはりできないらしい。

encrypt chrome extension – Google Search
javascript – Encrypt Chrome-extension? – Stack Overflow

ということで妥協して難読化。

インストール

sudo npm install --global javascript-obfuscator

user:/mnt/c/pg/js$ cat  > input.js
// Paste your JavaScript code here
function hi() {
  console.log("Hello World!");
}
hi();

user:/mnt/c/pg/js$ javascript-obfuscator input.js --output output.js --compact true --self-defending false

[javascript-obfuscator-cli] Obfuscating file: input.js...
user:/mnt/c/pg/js$ cat output.js
var _0x3be7=['log','Hello\x20World!'];(function(_0x4b51bd,_0x87acc2){var _0x161117=function(_0x4f7a46){while(--_0x4f7a46){_0x4b51bd['push'](_0x4b51bd['shift']());}};_0x161117(++_0x87acc2);}(_0x3be7,0xe0));var _0x4c85=function(_0x4539c5,_0x2e06ad){_0x4539c5=_0x4539c5-0x0;var _0xde9a7=_0x3be7[_0x4539c5];return _0xde9a7;};function hi(){console[_0x4c85('0x0')](_0x4c85('0x1'));}hi();y

High obfuscation, low performanceを試してみる

{
compact: true,
controlFlowFlattening: true,
controlFlowFlatteningThreshold: 1,
deadCodeInjection: true,
deadCodeInjectionThreshold: 1,
debugProtection: true,
debugProtectionInterval: true,
disableConsoleOutput: true,
identifierNamesGenerator: ‘hexadecimal’,
log: false,
renameGlobals: false,
rotateStringArray: true,
selfDefending: true,
stringArray: true,
stringArrayEncoding: ‘rc4’,
stringArrayThreshold: 1,
transformObjectKeys: true,
unicodeEscapeSequence: false
}

–debug-protection-intervalなど、僕の裁量で一部オフにしています。
–identifiers-prefix,–targetは適時変えてください。

javascript-obfuscator input.js --output output.js \
--compact true \
--control-flow-flattening true \
--control-flow-flattening-threshold 1  \
--dead-code-injection true \
--dead-code-injection-threshold 1  \
--debug-protection 1 \
--identifier-names-generator hexadecimal \
--identifiers-prefix chromeExtension1 \
--rotate-string-array true \
--self-defending true \
--string-array true \
--string-array-encoding rc4 \
--string-array-threshold 1 \
--target browser \
--transform-object-keys true \
--unicode-escape-sequence false

これの結果が以下。

output.js

var chromeExtension1_0x4b71=['QlzCiMKZGQ==','dsKiwrxoSA==','PxnCkhEC','U0JCwrdd','w4/DngXDvDc=','bcOGdG5E','Zj8WdcK5','w5TCsFzDpwc=','JcKAOcKbw4w=','wp/Di8KYw6ok','B8KpOsKpw6g=','KQnDj8KIwo4=','wpvDp8K/w5c=','wqsjwofCuhc=','W8KmIW3Dog==','w6F6EMKW','w5tYwoLCti0=','aMKIwqPCoMOu','w7VIUMKKw5k=','V8OFVn9e','w7zDlAPDnSY=','fcK4wqfCh8OJ','VMKAwo1vSw==','wrTCosO3w7k0','NBzDlsKSwro=','bcOXw6NfCA==','csKcw5wbwpA=','XAjDhMKrwqU=','AMKmwqTCjS8=','bsKOwr/CkMO2wr7Dk8Ovwpw6Jg==','dMKCwoZbZw==','w7rCr1XDvgM=','w5xzQMKjw5o=','G8Kgw4LCvg==','w5ZpIMKMQw==','csK4w54ewq0=','MgfDrcKLwr4=','w5NeBMKQVA==','w4nDisKUTcKI','wpvCusOTw5Eo','TW7CvMKwKQ==','w4s8wr/DtgQ=','w7Urwr1kDg==','w6kgwpnDs8Kx','cxcuwr4r','wprDqMKDExA=','aMKkwr/CrcOb','wrnDmMKPw4gM','csOyGMOXVQ==','wqbDr8OeaF0=','OsOaNsKZw6E=','w4sWwpHDgsKj','ccKswrxTQA==','LsKoJcKnw48=','YcKYw6bCkj4=','w6LDhSLDixU=','wq8IIMKhAw==','wqdac8OJw7o=','e8KMwrhPYQ==','w6ImwpvDgx8=','w5HDlsKhfMKH','RcKnJk7DhQ==','w4LDiMKzU8K9','w7LCuiVKPg==','w6F1E8KNbw==','w713wr3Crho=','Z3nDl2bDvA==','w6F0NcKLZw==','YCw2UMK/','w5HDuV1Bw6g=','wppyAx8V','S3nCncKXDA==','wocGIMK2MQ==','eV5Wwr9t','JcOwFQHCkA==','R8Kswo/DqQ==','QsKbwoXDswI=','w7FUR0XDuA==','A8KiBMKq','a8Kdw5zCiCo=','IcOoDizChQ==','w4fDl39kw7E=','w7jDol9Pw58=','wrbDrcKew5o8','wrDCs8Orw54p','ZnzCqsKaMQ==','dQvDjMK/woA=','w6PDuwHDvRA=','w4hvUcKjw4c=','UMKmwpLDrhfDnwMLHDfCtQ==','PsKOwoMmFQ==','DMKHw59cwo4=','w7Y1wq/DlcKH','FSfDgcKKIw==','w7gjwrPDhhwww4EKRsOCw7Y=','V8Kdw7vCjTc=','wofCsMOxw7oW','FsKkwobCjiA=','fWtIwp1N','XMKpBkDDkQ==','w43Duws=','w49yR3HDrQ==','PcOTwqjCo8OY','ZHzCgMKDJA==','IcK1woA6FQ==','ZSXDvMKBwoQ=','w6MNwp5BLw==','w4vCqBpLDg==','YMOqG8OtXQ==','wpXDn8OEeWk=','woYOJ8KGDA==','DALDosKKwqM=','wo7DkcKwKTc=','w6/CsSR9Dg==','wpfCk8O2w7EX','w78VYMKBwqU=','dsK2w63CrR4=','J8Opwog3ew==','AMOeJAPCrMKn','EcKWw6fCocKe','ZMOBMMOPWQ==','wrDDosONSVM=','w5sgwopfIg==','w6J3CsKOYcKww67DosOBw7/DoR3Dm8KHwrw=','IMKxwpILNg==','w49FQ8Kpw6XCpQQ=','wprCpsOTw5I9','w6rDucODw4jCuQ==','eMKLIl3DmQ==','ajsuwr0H','wowpN8KaKQ==','wrbDhMKlw6o8','w5LDvcKZSMKu','e8KTwqBmeAo=','w6kawqzDvjw=','w4tKdErDqQ==','bMKDwpjCrcOz','HMO2wrA5eA==','w5powpjCkzA=','w4VdwpPCsD0=','F8OPNB8=','BMOpwpMTZw==','w6fCnHbDvg==','w4LCr1DDlio=','w4ANwqRjKgA=','wrQswqHCggg=','wr9OKi42','w6/DnxXDmDY=','w7k5wrhPDw==','EcKzAMKQw6w=','S8OQO8OJZA==','ZMKCwq91aS3Du8OAw57CtsO6','L8O/wqkTaQ==','U2vDkX7DmA==','w7/DocKnbMK+','wq/DqcOOeVQ=','HMKIwoPCkw0=','f2tiwoRY','ZxgYwoc4','w5sxwrrDpcKD','IsKGEcKRw68=','wpnCocOnw7wY','w6/DlwzDnBo=','wrHDisKQBw0=','Cc
...

これの10倍位あります。

こんなんでほんとに動くのか…?と思ったので検証。

適当なhtmlファイルで検証。

<!DOCTYPE html>
<html lang="en" dir="ltr">
  <head>
    <meta charset="utf-8">
    <title></title>
  </head>
  <body>
    <script type="text/javascript">

        ここにoutput.jsの中身を貼り付け

    </script>
  </body>
</html>
<!-- view-source:192.168.3.10/php/ -->

ShareX_ScreenShot_692db184-c273-408d-9bb8-5e37dad03fa5.png (366×126)

ちゃんと出来てるみたいです。

では実際にchrome拡張機能に応用してみます。

50行弱のそこそこのスクリプトで。

…とやろうとしたら何故かchrome拡張機能作れないのでtampermonkeyで。

ShareX_ScreenShot_c69c81a5-e48a-44c5-a87a-36ead165291d.png (1226×697)

ShareX_ScreenShot_58b09400-7c40-412a-8099-28391b136f78.png (1226×697)

なんかめっちゃエラー出てますが、

ちゃんと動きました。

とりあえず、chrome拡張機能でも使えそうですね。

追記:chrome拡張機能でも動きました

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です