保姆级教程：手把手教你逆向分析PerimeterX Bot Defender (PX3) 的混淆与解密

保姆级教程：手把手教你逆向分析PerimeterX Bot Defender (PX3) 的混淆与解密

当你面对一个采用PerimeterX PX3防护的网站时，那些经过层层混淆的JavaScript代码就像是被锁在迷宫中的宝藏。本文将带你从零开始，一步步拆解这个迷宫，找到关键加密函数的秘密。不同于简单的记录性文章，这里提供的是一套可复现、可操作的实战指南，适合那些希望在JS逆向领域深耕的安全研究员和爬虫工程师。

1. 逆向前的准备工作

在开始逆向之前，我们需要搭建一个合适的工作环境。首先确保你的电脑上安装了最新版本的Node.js（建议v16+），这将为我们提供运行JavaScript代码的基础环境。接下来，安装几个关键工具：

npm install esprima estraverse escodegen -g npm install babel-parser -g

这些工具构成了我们解混淆的基础工具链。Esprima用于将JavaScript代码解析为抽象语法树(AST)，Estraverse用于遍历和修改AST，而Escodegen则负责将修改后的AST重新生成为可读的JavaScript代码。

为什么选择AST解混淆？因为PerimeterX PX3使用的字符串混淆、控制流平坦化等技术，本质上都是对AST的特定修改。直接在AST层面操作，可以绕过很多表面上的混淆手段。

提示：建议使用VS Code作为代码编辑器，配合JavaScript调试插件，可以大幅提升逆向效率。

2. 初步分析与参数定位

当我们访问受PX3保护的网站时，通常会看到向/collector接口发送的请求，其中包含几个关键参数：

• p6: 由cookie返回的值
• seq,rsc: 自增的序列号
• payload和pc: 两个采用不同算法加密的核心参数

为了定位这些参数的生成位置，我们需要先获取PX3的防护脚本。通常可以通过以下方式找到：

1. 在浏览器开发者工具中搜索PX3或PerimeterX关键字
2. 查找包含initPX3或类似初始化函数的脚本
3. 定位到主防护脚本后，将其保存为本地文件以便分析

关键步骤：

1. 使用浏览器调试工具在脚本加载时设置断点
2. 观察网络请求，找到第一个包含pc参数的请求
3. 回溯调用栈，定位参数生成函数

3. AST解混淆实战

PX3 v8.5.4的字符串混淆相对容易还原，不像早期版本那样复杂。下面是一个典型的解混淆流程：

const fs = require('fs'); const esprima = require('esprima'); const estraverse = require('estraverse'); const escodegen = require('escodegen'); // 读取混淆后的代码 const code = fs.readFileSync('px3_obfuscated.js', 'utf-8'); // 解析为AST const ast = esprima.parseScript(code); // 遍历AST并解混淆 estraverse.traverse(ast, { enter: function(node, parent) { // 处理字符串混淆 if (node.type === 'CallExpression' && node.callee.type === 'MemberExpression' && node.callee.property.name === 'split') { // 解混淆逻辑... } // 处理控制流平坦化 if (node.type === 'SwitchStatement' && node.discriminant.type === 'Identifier' && node.discriminant.name === '控制变量') { // 解控制流平坦化... } } }); // 生成解混淆后的代码 const deobfuscated = escodegen.generate(ast); fs.writeFileSync('px3_deobfuscated.js', deobfuscated);

解混淆后，我们能够更清晰地看到代码逻辑，这时可以快速定位到加密位置。通常pc参数的加密代码就在payload加密位置的上方不远处。

4. 关键对象分析与函数扣取

PX3中有两个核心对象需要特别关注：

1. t对象：一个数组，每次请求时内容都会变化
2. S对象：包含版本信息、应用ID等固定字段

典型的t对象结构如下：

[ { "t": "PX12095", "d": { "PX11645": "https://www.example.com/", "PX12207": 0, "PX12458": "Win32", "PX11902": 0, "PX11560": 269, "PX12248": 3600, "PX11385": 1688690961524, "PX12280": 1688690961526, "PX11496": "1c796520-1c60-11ee-9c74-d7cdd48cc772", "PX12564": null, "PX12565": -1, "PX11379": true } } ]

而S对象的结构则类似于：

{ "tag": "v8.5.4", "appID": "PXDl82I3Ui", "cu": "f3136670-1e3c-11ee-806a-59aba21d5838", "pc": "6149997752707771" }

扣取加密函数的技巧：

1. 先定位到加密函数调用处
2. 回溯函数定义，确保获取完整的函数体
3. 注意函数依赖的其他工具函数
4. 将相关函数一并扣取，保持功能完整

5. 参数逆向与指纹分析

PX3的指纹收集是一个动态过程，主要体现在t对象的变化上。要完整逆向，需要分析t对象中各个参数的含义：

对于payload和pc参数的加密，通常遵循以下流程：

1. 收集环境指纹信息（存储在t对象中）
2. 序列化数据并进行初步编码
3. 应用特定的加密算法（通常是AES或自定义算法）
4. 对结果进行二次编码（Base64等）

在逆向过程中，特别要注意第二次请求时S对象中新增的vid参数。这个参数通常由It()函数返回，可以通过以下方式定位：

// 在浏览器调试器中设置条件断点 (function() { var oldIt = It; It = function() { debugger; return oldIt.apply(this, arguments); }; })();

当断点触发时，通过调用栈分析可以找到vid的设置位置，通常是在第一次返回结果解密后得到的。

6. 实战中的常见问题与解决方案

在实际逆向PX3的过程中，可能会遇到以下几个典型问题：

问题1：解混淆后代码仍难以理解

解决方案：

• 使用AST可视化工具（如AST Explorer）辅助分析
• 重点关注函数调用关系，忽略无关细节
• 对关键函数进行重命名，提高可读性

问题2：加密函数依赖浏览器环境

解决方案：

• 使用puppeteer或playwright模拟完整浏览器环境
• 补全必要的全局变量和API
• 对于特别复杂的依赖，考虑直接调用原脚本中的函数

问题3：参数生成存在时间敏感性

解决方案：

• 记录完整的时间戳生成逻辑
• 在本地实现相同的时间计算方式
• 对于服务器时间依赖，可能需要同步时间或获取时间偏移量

注意：PX3的防护策略会定期更新，逆向方法也需要相应调整。建议保持对防护脚本变化的关注。

7. 进阶技巧与性能优化

当掌握了基本的逆向方法后，可以考虑以下进阶技巧提升效率和成功率：

1. 自动化脚本：将解混淆、函数扣取等步骤编写成自动化脚本
2. 缓存机制：对不变的指纹信息进行缓存，减少重复计算
3. 并行处理：对多个独立模块采用并行分析策略
4. 差异分析：对比不同版本的防护脚本，快速定位变化点

一个典型的自动化解混淆流程可能包含以下步骤：

# 伪代码示例 def auto_deobfuscate(script_path): # 1. 预处理：移除无用代码 cleaned_code = preprocess(script_path) # 2. AST解混淆 ast = parse_to_ast(cleaned_code) simplified_ast = remove_obfuscation(ast) # 3. 关键函数提取 crypto_funcs = extract_crypto_functions(simplified_ast) # 4. 环境模拟准备 env = prepare_browser_environment() # 5. 验证函数正确性 test_cases = generate_test_cases() verify_functions(crypto_funcs, env, test_cases) return crypto_funcs

在实际项目中，逆向PX3只是第一步。真正的挑战在于理解其背后的风控逻辑，特别是并发请求时的防护策略。这需要长期的观察和大量的测试数据积累。