1. PerimeterX px3无感验证逆向分析入门第一次接触PerimeterX的px3无感验证时我盯着那堆被混淆得面目全非的JavaScript代码发了半天呆。这玩意儿就像是被打乱的拼图乍一看完全找不到头绪。但经过几天的折腾我发现其实只要掌握几个关键点就能像剥洋葱一样一层层解开它的秘密。px3无感验证的核心在于/collector接口的请求参数特别是payload和pc这两个加密参数。新手最容易犯的错误就是直接一头扎进代码里结果被各种混淆搞得晕头转向。我的经验是先搞清楚整体流程再动手会更高效。简单来说整个过程可以分为四个阶段解混淆、定位关键函数、分析动态参数、还原加密逻辑。2. 从混淆代码到清晰可读2.1 AST解混淆实战新版的px3虽然做了字符串混淆但相比之前的版本已经友好多了。我记得第一次解混淆时用了陈不不大佬的框架现在用AST抽象语法树就能搞定。具体操作上我推荐使用Babel库来处理它就像是个JavaScript的翻译官能把混淆代码还原成人类可读的形式。解混淆的核心步骤是解析代码生成AST遍历节点还原字符串简化控制流重建可读代码// 示例使用Babel解混淆 const { parse } require(babel/parser); const traverse require(babel/traverse).default; const generate require(babel/generator).default; const code 你的混淆代码; const ast parse(code); traverse(ast, { // 这里添加你的转换逻辑 }); const output generate(ast); console.log(output.code);2.2 关键参数定位技巧解混淆后payload和pc的加密位置就很好找了。我的经验是先全局搜索payload这个关键词通常加密函数就在附近。pc的加密位置一般在上方不远处这两个参数虽然算法不同但代码结构很相似。定位时有个小技巧在浏览器开发者工具中给特定函数设置断点然后观察调用栈。这样能快速找到参数生成的位置比盲目搜索高效得多。3. 动态参数生成逻辑剖析3.1 t对象的神秘面纱t对象是个特别有意思的部分它是个数组每次请求内容都不一样。第一次请求时相对简单主要包含一些基础信息t [{ t:PX12095, d:{ PX11645:https://www.ti.com/, PX12207:0, PX12458:Win32, // 其他字段... } }];这些PX开头的字段名看着吓人其实解混淆后就能看到原始名称。我花了些时间研究这些参数的含义发现它们主要记录了浏览器环境、页面信息等指纹数据。3.2 S对象的演变过程S对象在两次请求中会有明显变化。第一次比较简单S { tag:v8.5.4, appID:PXDl82I3Ui, cu: uuid, pc:7854166242700189 };但第二次请求时就多了vid等字段S { vid:f314f4ce-1e3c-11ee-8981-6f7561657275, tag:v8.5.4, appID:PXDl82I3Ui, cu:f3136670-1e3c-11ee-806a-59aba21d5838, cs: uuid, pc:6149997752707771 };这个vid字段特别关键它是It()函数的返回值。要找到它的来源可以在浏览器里调试Jt函数设置断点后往上翻调用栈就能发现它是第一次返回结果解密后得到的。4. 加密解密全流程还原4.1 加密函数扣取技巧px3的加密函数其实扣起来并不难主要分这几个步骤定位加密函数位置提取依赖的辅助函数重建执行环境验证输出结果我建议先处理pc参数的加密因为它相对简单。payload的加密会依赖一些环境变量需要更仔细地处理上下文。// 示例pc加密函数结构 function encryptPC(data) { // 通常包含一些位操作和哈希计算 const step1 transformA(data); const step2 transformB(step1); return finalize(step2); }4.2 解密过程逆向新版本的px3对返回值也做了加密但解密位置很容易定位。我的方法是在浏览器中拦截响应搜索解密相关关键词如decrypt跟踪数据流解密函数通常会有明显的特征比如包含CryptoJS等库的调用或者有特定的初始化向量(IV)处理逻辑。扣取时要注意保留所有的依赖函数哪怕看起来无关紧要的辅助函数也可能影响最终结果。5. 实战中的坑与解决方案在实际分析过程中我踩过几个典型的坑。第一个是环境依赖问题px3的某些检测会验证浏览器环境直接复制代码到Node.js运行可能会失败。解决方案是使用puppeteer等工具模拟完整浏览器环境。第二个常见问题是时间戳校验。px3的某些参数对时间非常敏感差几毫秒就会导致校验失败。我的做法是 hook Date相关函数确保本地和远程的时间计算保持一致。第三个难点是并发控制。px3的风控机制对频繁请求特别敏感调试时要控制好请求间隔。建议在关键步骤添加人工延迟避免触发防护机制。6. 进阶分析与指纹提取当基础逆向完成后可以深入研究t对象中的各个参数。这些参数实际上包含了丰富的浏览器指纹信息比如屏幕分辨率显卡信息字体列表插件信息行为特征提取这些指纹的关键是找到对应的检测代码。解混淆后可以搜索特定关键词如canvas、WebGL来定位检测点。有些检测是异步执行的需要特别注意事件监听器的注册位置。7. 工具链与调试技巧工欲善其事必先利其器。经过多次实战我总结出一套高效的调试工具组合Chrome开发者工具用于基础调试和调用栈分析Babel/Webpack用于代码解混淆和重构Puppeteer用于浏览器环境模拟Node.js用于本地化测试调试时有个小技巧使用//# sourceURL给eval代码命名这样在开发者工具中就能像普通脚本一样调试了。对于复杂的逻辑建议使用console.time和console.timeEnd来测量执行时间找出性能瓶颈。
【PerimeterX】px3无感验证逆向实战:从混淆还原到参数解密
发布时间:2026/5/19 14:45:07
1. PerimeterX px3无感验证逆向分析入门第一次接触PerimeterX的px3无感验证时我盯着那堆被混淆得面目全非的JavaScript代码发了半天呆。这玩意儿就像是被打乱的拼图乍一看完全找不到头绪。但经过几天的折腾我发现其实只要掌握几个关键点就能像剥洋葱一样一层层解开它的秘密。px3无感验证的核心在于/collector接口的请求参数特别是payload和pc这两个加密参数。新手最容易犯的错误就是直接一头扎进代码里结果被各种混淆搞得晕头转向。我的经验是先搞清楚整体流程再动手会更高效。简单来说整个过程可以分为四个阶段解混淆、定位关键函数、分析动态参数、还原加密逻辑。2. 从混淆代码到清晰可读2.1 AST解混淆实战新版的px3虽然做了字符串混淆但相比之前的版本已经友好多了。我记得第一次解混淆时用了陈不不大佬的框架现在用AST抽象语法树就能搞定。具体操作上我推荐使用Babel库来处理它就像是个JavaScript的翻译官能把混淆代码还原成人类可读的形式。解混淆的核心步骤是解析代码生成AST遍历节点还原字符串简化控制流重建可读代码// 示例使用Babel解混淆 const { parse } require(babel/parser); const traverse require(babel/traverse).default; const generate require(babel/generator).default; const code 你的混淆代码; const ast parse(code); traverse(ast, { // 这里添加你的转换逻辑 }); const output generate(ast); console.log(output.code);2.2 关键参数定位技巧解混淆后payload和pc的加密位置就很好找了。我的经验是先全局搜索payload这个关键词通常加密函数就在附近。pc的加密位置一般在上方不远处这两个参数虽然算法不同但代码结构很相似。定位时有个小技巧在浏览器开发者工具中给特定函数设置断点然后观察调用栈。这样能快速找到参数生成的位置比盲目搜索高效得多。3. 动态参数生成逻辑剖析3.1 t对象的神秘面纱t对象是个特别有意思的部分它是个数组每次请求内容都不一样。第一次请求时相对简单主要包含一些基础信息t [{ t:PX12095, d:{ PX11645:https://www.ti.com/, PX12207:0, PX12458:Win32, // 其他字段... } }];这些PX开头的字段名看着吓人其实解混淆后就能看到原始名称。我花了些时间研究这些参数的含义发现它们主要记录了浏览器环境、页面信息等指纹数据。3.2 S对象的演变过程S对象在两次请求中会有明显变化。第一次比较简单S { tag:v8.5.4, appID:PXDl82I3Ui, cu: uuid, pc:7854166242700189 };但第二次请求时就多了vid等字段S { vid:f314f4ce-1e3c-11ee-8981-6f7561657275, tag:v8.5.4, appID:PXDl82I3Ui, cu:f3136670-1e3c-11ee-806a-59aba21d5838, cs: uuid, pc:6149997752707771 };这个vid字段特别关键它是It()函数的返回值。要找到它的来源可以在浏览器里调试Jt函数设置断点后往上翻调用栈就能发现它是第一次返回结果解密后得到的。4. 加密解密全流程还原4.1 加密函数扣取技巧px3的加密函数其实扣起来并不难主要分这几个步骤定位加密函数位置提取依赖的辅助函数重建执行环境验证输出结果我建议先处理pc参数的加密因为它相对简单。payload的加密会依赖一些环境变量需要更仔细地处理上下文。// 示例pc加密函数结构 function encryptPC(data) { // 通常包含一些位操作和哈希计算 const step1 transformA(data); const step2 transformB(step1); return finalize(step2); }4.2 解密过程逆向新版本的px3对返回值也做了加密但解密位置很容易定位。我的方法是在浏览器中拦截响应搜索解密相关关键词如decrypt跟踪数据流解密函数通常会有明显的特征比如包含CryptoJS等库的调用或者有特定的初始化向量(IV)处理逻辑。扣取时要注意保留所有的依赖函数哪怕看起来无关紧要的辅助函数也可能影响最终结果。5. 实战中的坑与解决方案在实际分析过程中我踩过几个典型的坑。第一个是环境依赖问题px3的某些检测会验证浏览器环境直接复制代码到Node.js运行可能会失败。解决方案是使用puppeteer等工具模拟完整浏览器环境。第二个常见问题是时间戳校验。px3的某些参数对时间非常敏感差几毫秒就会导致校验失败。我的做法是 hook Date相关函数确保本地和远程的时间计算保持一致。第三个难点是并发控制。px3的风控机制对频繁请求特别敏感调试时要控制好请求间隔。建议在关键步骤添加人工延迟避免触发防护机制。6. 进阶分析与指纹提取当基础逆向完成后可以深入研究t对象中的各个参数。这些参数实际上包含了丰富的浏览器指纹信息比如屏幕分辨率显卡信息字体列表插件信息行为特征提取这些指纹的关键是找到对应的检测代码。解混淆后可以搜索特定关键词如canvas、WebGL来定位检测点。有些检测是异步执行的需要特别注意事件监听器的注册位置。7. 工具链与调试技巧工欲善其事必先利其器。经过多次实战我总结出一套高效的调试工具组合Chrome开发者工具用于基础调试和调用栈分析Babel/Webpack用于代码解混淆和重构Puppeteer用于浏览器环境模拟Node.js用于本地化测试调试时有个小技巧使用//# sourceURL给eval代码命名这样在开发者工具中就能像普通脚本一样调试了。对于复杂的逻辑建议使用console.time和console.timeEnd来测量执行时间找出性能瓶颈。
)
