Можно узнать о задаче из-за которой возникла такая необходимость? Интересуюсь потому как подобный обфускатор может работать только с примитивными JS конструкциями, да и деофусцируется руками достаточно просто, что в свою очередь ставит под сомнения оправданность его создания кроме как for fun.

t0pep0 Nov 11 2013 at 14:20

Задача = заказ. Что касается деобфускации кода, на мой взгляд Вы несколько торопитесь с выводами, ведь сам обфускатор еще не представлен (что будет во второй части), как и код, который он генерирует, при этом не стоит забывать, что пример в статье синтетический, созданный руками.

-1

lacki Nov 11 2013 at 14:32

Готов поспорить, что напишу такой JS код, который сломается после подобной обфускации. Ждем релиза.

t0pep0 Nov 11 2013 at 14:48

Вызов принят, сэр.

lacki Nov 12 2013 at 09:50

Окей, жду новостей в этой ветке/топике.

rozhik Nov 11 2013 at 13:49

Вообще прикольно. Я получил удовольствие прочитав статью.

С помощью closure compiler Ваш код превращается в удобочитаемый (да и вообще — слабая защита от firebug).
По эффективности и сложности деобфускации — не самое эффективное решение.

t0pep0 Nov 11 2013 at 14:21

Насчет деобфускации — ответил выше. Ну а так, рад, что Вам понравилось, мне самому было интересно писать эту статью.

random13 Nov 12 2013 at 13:11

Есть предположение что сам closure compiler явно лучше справится с обфускацией кода.
Его же можно было выполнить как раз из самого php ;-)

wataru Nov 11 2013 at 13:58

Интересно, а как с производительностью у этого обфусцированного кода?
Вы проводили какие-нибудь тесты?

t0pep0 Nov 11 2013 at 14:32

Тесты не проводились, но производительность кода гарантированно упадет.

AndreyNagih Nov 11 2013 at 14:21

www.jsfuck.com/

t0pep0 Nov 11 2013 at 14:33

Да, с изучения этого и подобных обфускаторов я и начинал.

monolithed Nov 11 2013 at 14:56

Можно еще собрать слово constructor:

[]['constructor']['constructor']('alert(this)')();

t0pep0 Nov 11 2013 at 14:59

Да, а еще можно использовать функции atob и bota

vitvad Nov 11 2013 at 15:51

… однако это не так, не вдаваясь в подробности представления чисел и всякие дебри (мантиссы, знаковые разряды) ...

Видео объясняет «магию» с числами в JS и не только (на английском)
_{это как дополнение к посту}

t0pep0 Nov 11 2013 at 16:00

Сейчас добавлю в пост, благодарю

monolithed Nov 11 2013 at 19:49

Можете еще добавить ссылку на статью Обфускация JavaScript

t0pep0 Nov 11 2013 at 20:50

Сейчас добавлю, натыкался на неё, когда собирал материал. Благодарю.

oshibka404 Nov 11 2013 at 21:09

особенность js (и не только), в том, то при булевых операциях если операнд не является булевым типом и не равен 0 то он признается за true

Не совсем так. В булевых операциях если операнд равен 0, false, undefined, null, '' (пустой строке), то он приводится к false. Во всех остальных случаях — к true.

t0pep0 Nov 11 2013 at 21:16

Спасибо, сейчас исправлю.

seriyPS Nov 12 2013 at 04:06

Когда меня попросили сделать защиту от ботов для тизерной сети, я ограничился генерацией кода типа var hash = function(){var _=substr(1, 2, substr(2, 4, 'ngveifq3dm3129ejf'))(); return substr(5, 3,_)+substr(6, 8,_).... деталей сейчас уже не вспомню.
Человеку в принципе и такое достаточно сложно разобрать. А если к боту добавлен JS интерпретатор, то более-менее защитить может только динамическое обращение к окружению браузера (типа if(window.alert) return true; else return false в браузере вернёт true а в голом интерпретаторе false)

torbasow Nov 12 2013 at 09:50

Давайте еще подумаем, сколько будет -1/-0? Бесконечность

Неопределённость — как математик говорю.

t0pep0 Nov 12 2013 at 10:46

Хм, я всегда считал, что 0/0 = неопределенность, так же как и ∞/0, а вот если делить на ноль вещественное число, то будет бесконечность. Или я путаю просто ноль и стремление к нулю?

monolithed Nov 12 2013 at 12:27

x / 0 — согласно стандарту IEEE 754, если знаменатель будет стремиться к нулю или числитель к бесконечности, то результат будет равен +/Infinity.

t0pep0 Nov 12 2013 at 12:37

Спасибо за разъяснения, поставил бы плюс, но кармы не хватает

bolk Nov 12 2013 at 12:02

А зачем вы всё это делаете? Материал изучен (есть статьи), обсускаторы по этой методике написаны, а вы изобретаете велосипед, да ещё и плохой. Например ваше «([]|[])» заменяется просто на «+[]».

t0pep0 Nov 12 2013 at 12:47

Да, а еще можно заменить на ((![[]]+![[]])) или ([[]]|[[]]). Извиняюсь, конечно, но Вы судите о том, что еще не видели. К тому же, что Вам мешает игнорировать очередной «велосипед», если Вы его таковым посчитаете. Однако, если у Вас есть конструктивная критика, то я с удовольствием её выслушаю.

bolk Nov 12 2013 at 13:53

Если вы хотели критики, то вы неправильно статью начали. Вы дипломную работу сдавали когда-нибудь? Там для начала спрашивают — если есть аналоги, то чем ваше решение лучше? Вот и рассказали бы для чего вы начали писать свой велосипед, если есть аналоги.

Beyondtheclouds Nov 12 2013 at 12:39

Это не обфускатор, это игрушка.
Даже если не обращать внимание на объем или производительность. Символы закодированные таким методом одназначно восстанавливаются в исходные. Это примерно такой же уровень как кодировать урлы в base64.
Тоесть всю сложность для деобфускации представляют те шаги которые были сделанны до или после самой зрелищной части со скобочками.

t0pep0 Nov 12 2013 at 12:53

Согласен, сам по себе такой метод не эффективен, однако в комбинации с другими методами может получиться вполне не плохо.
Если проводить аналогию с URL дальше, то закодировав в Base64 мы ничего не добьемся, а вот если перед этим URL зашифруем любым криптоалгоритмом, то получается совсем другая песня.

Beyondtheclouds Nov 12 2013 at 13:02

Да, но зачем тогда вообще кодировать в base64?

t0pep0 Nov 12 2013 at 13:11

Как вариант — психологический эффект, однако тут есть дополнительный бонус, это отсев интерпретаторов

Xao Nov 14 2013 at 15:58

Но в чём смысл обусфицировать javascript?
Уже сходу можно будет понять, как примерно всё работает, просто запустив пошаговое выполнение.

Show the best of all time