Eval的正规用法是执行一段JS代码。
但它做为代码分析者的手段,也经常被用于调试分析:用eval运行某些函数,获得返回值、了解代码执行结果。
如何反eval调试、防止代码被eval执行?
我们可以在函数中抛出一个错误并捕获其堆栈跟踪,进而来检查调用栈中是否包含eval,便可识别是否是被eval调试,并可做出相应的操作。
例程:
function checkIfEvalled() {
try {
throw new Error();
} catch (e) {
console.log(e.stack);
if (e.stack.includes('eval')) {
console.log("This function might have been called by eval.");
} else {
console.log("This function was not called by eval.");
}
}
}
// 正常调用
checkIfEvalled();
// 使用eval调用
eval('checkIfEvalled();');执行效果:
实际使用中,为了防止反Eval的代码逻辑被看到,当然不会使用console.log提示,可以换作return错误的值之类。还要将代码进行混淆加密,比如用JShaman进行JS代码混淆后,上面的示例可以变成难以阅读和理解的代码形式:
注意:
这个方式,可用于浏览器或Node.JS中检测eval。但在某些特殊的运行环境中,例如:微信、支付宝等H5小游戏中的代码,是不可以使用的,因为这些场景中经常也是使用eval来执行代码的,阻止了eval执行会导致错误。如下图:
但这似乎也说明用此方式反eval确实是够强大的。
本文节选自开源电子书《JavaScript奇技淫巧》
获取地址:https://github.com/w2sft/JavaScript-diabolic-tricks-and-wicked-craft
该书目录:
JavaScript奇技淫巧:防删水印 1
JavaScript奇技淫巧:图片加密 5
JavaScript奇技淫巧:复制陷阱 12
JavaScript奇技淫巧:禁止页面分析 15
JavaScript奇技淫巧:Html加密 17
JavaScript奇技淫巧:隐秘执行 22
JavaScript奇技淫巧:Hook与反Hook 26
JavaScript奇技淫巧:链接劫持 31
JavaScript奇技淫巧:揭秘jjencode 35
JavaScript奇技淫巧:Ajax拦截 40
JavaScript奇技淫巧:无效断点 48
JavaScript奇技淫巧:时间密码 53
JavaScript奇技淫巧:设备指纹 58
JavaScript奇技淫巧:AST解释器 62
JavaScript奇技淫巧:隐写术 70
JavaScript奇技淫巧:隐形字符 77
JavaScript奇技淫巧:数值的7种写法 81
JavaScript奇技淫巧:详解Eval加密 88
JavaScript奇技淫巧:禁止后退 96
JavaScript奇技淫巧:加密反调试 98
JavaScript奇技淫巧:花样赋值 103
JavaScript奇技淫巧:Eval的未公开用法 107
JavaScript奇技淫巧:终极Eval加密 109
JavaScript奇技淫巧:自动下载 112
JavaScript奇技淫巧:防复制 115
JavaScript奇技淫巧:从词法分析到混淆加密 122
JavaScript奇技淫巧:操控URL 131
JavaScript奇技淫巧:彩色命令行 133
JavaScript奇技淫巧:变速齿轮 139
JavaScript奇技淫巧:按键精灵 144
JavaScript奇技淫巧:6种alert 150
JavaScript奇技淫巧:try&catch加密 155
JavaScript奇技淫巧:代码压缩&加密 159
JavaScript奇技淫巧:加密字库 162
JavaScript奇技淫巧:网站防火墙 173
JavaScript奇技淫巧:Lisp 2 JS 177
JavaScript奇技淫巧:混淆加密技术探究 190
JavaScript奇技淫巧:清理无效代码 227
JavaScript奇技淫巧:debugger拦截 229
JavaScript奇技淫巧:执行“二进制”代码 234
JavaScript奇技淫巧:32进制加密 237
等... ...
