1. 这不是写个console.log就能搞定的事为什么主流加密库的Hook总在关键时刻失效“JS逆向实战一键Hook主流加密库的调试与拦截”——看到这个标题很多刚入行的朋友第一反应是“不就是给CryptoJS、SM2、RSA.js这些库的encrypt方法打个console.log吗网上一搜全是现成代码。”我去年也这么想。直到在某电商风控对抗项目里连续三天卡在登录密码加密环节明明Hook了CryptoJS.AES.encrypt控制台却一条日志都不输出换用Proxy劫持整个CryptoJS对象结果页面直接白屏报错“Cannot redefine property: AES”最后发现目标站点不仅做了UglifyJS混淆AST重写还在初始化阶段用Object.defineProperty把所有加密方法的writable设为false连Function.prototype.toString都被重写了三遍。这才明白“一键Hook”四个字背后根本不是语法层面的代码插入而是对JavaScript运行时机制、模块加载生命周期、现代混淆防御策略的系统性穿透。这个标题的核心价值从来不是“教你怎么写几行Hook代码”而是帮你建立一套可复用、可迁移、抗干扰的加密函数动态观测体系。它解决的是逆向工程师最痛的三个现实问题第一加密逻辑分散在多个库CryptoJS、jsrsasign、sm-crypto、forge、webcrypto polyfill甚至自研封装层中手动逐个定位效率极低第二生产环境代码经过多层混淆字符串数组还原、控制流扁平化、死码注入静态分析几乎失效必须依赖运行时动态捕获第三目标站点主动检测调试行为如检查debugger语句、监听console方法、探测Function构造器传统Hook方式极易被识别并触发反调试逻辑。因此本篇内容适合两类人一是已掌握基础JS语法和Chrome DevTools操作但面对复杂加密场景仍靠“试错截图问群”的中级逆向者二是正在搭建自动化JS逆向分析平台需要稳定获取加密输入/输出对的技术负责人。接下来的所有内容都围绕“如何让Hook在真实业务场景中真正活下来、稳住、持续产出有效数据”展开不讲虚的原理只说我在27个不同加密架构项目中验证过的实操路径。2. 加密库的“真身”藏在哪从模块加载机制到运行时对象图谱2.1 主流加密库的四种加载形态与Hook切入点差异很多人Hook失败根源在于没搞清目标库到底以什么形式存在于内存中。我梳理了当前95%以上Web项目使用的加密库加载方式它们决定了你该在哪个时机、用什么方式去Hook加载形态典型示例内存存在形式最佳Hook时机关键风险点全局变量注入script srccrypto-js.min.jswindow.CryptoJS或window.cryptoJsDOMContentLoaded后立即执行站点可能在加载后立即冻结对象Object.freeze()CommonJS模块Webpack打包const CryptoJS require(crypto-js)存于Webpack的__webpack_modules__缓存中通过require(XXX)返回Webpack启动完成、模块注册后监听webpackJsonp或__webpack_require__调用模块ID不固定需动态解析require参数映射表ES6模块动态导入import(sm-crypto).then(m m.sm2.doEncrypt)存于浏览器Module Map需通过import()返回的Promise链追踪import()Promise resolve后在then回调内Hook动态导入路径可能被混淆如import(_0x1234[5])需先解混淆Web Crypto API Polyfillwindow.crypto.subtle.encrypt(...)原生API被polyfill覆盖实际调用window.crypto.subtle的代理对象页面加载完成、polyfill脚本执行完毕后polyfill常重写subtle属性为getter需Hook getter而非直接赋值提示判断加载形态的最快方法是打开DevTools Console依次执行typeof CryptoJS、typeof require、typeof import、typeof crypto。若CryptoJS为undefined但require存在则大概率是Webpack模块若crypto.subtle存在但subtle.encrypt报错“not a function”说明polyfill未生效或被覆盖。2.2 揭开CryptoJS的“洋葱结构”为什么直接Hook encrypt()会漏掉80%的调用CryptoJS是Hook失败率最高的库原因在于它的设计哲学——高度抽象的算法分层。以AES加密为例真实调用链是CryptoJS.AES.encrypt()→createCipher()→Cipher.create()→lib.Cipher.encrypt()→lib.BlockAlgorithm._createHelper()→ 最终进入lib.AES._doFinalize()。而绝大多数人写的Hook只覆盖了最外层的encrypt()却忽略了三个关键逃逸点Helper函数绕过lib.AES.enc.Base64等编码辅助函数常被直接调用其内部仍走_doFinalize()实例化模式new CryptoJS.algo.AES()创建实例后调用encrypt()此时this.constructor指向algo.AES而非AES对象配置对象劫持{ mode: CryptoJS.mode.CBC, padding: CryptoJS.pad.Pkcs7 }中的mode/padding对象本身含加密逻辑其encrypt()方法未被外层Hook覆盖。我实测过在某金融平台仅HookCryptoJS.AES.encrypt能捕获32%的加密请求加上lib.AES._doFinalize后升至67%最终补全algo.AES.encrypt和mode.CBC.encrypt才达到98.6%的覆盖率。这印证了一个核心经验Hook加密库必须穿透到算法实现层lib目录下的核心类而非停留在工具函数层AES/DES等顶层命名空间。2.3 jsrsasign与sm-crypto的“双面性”同一套代码为何在不同环境表现迥异jsrsasign和sm-crypto是国产项目最爱用的两个库但它们的Hook策略截然不同。以SM2加密为例jsrsasign采用“类工厂”模式KJUR.crypto.SM2是一个构造函数所有加密方法doEncrypt/doDecrypt定义在原型链上。但关键点在于它支持两种调用方式——new KJUR.crypto.SM2().doEncrypt()和KJUR.crypto.SM2.doEncrypt()后者是静态方法。而静态方法内部会重新new一个实例导致Hook原型方法时静态调用完全不受影响。sm-crypto采用纯函数式设计sm2.doEncrypt()直接导出但其内部依赖sm-crypto/lib/sm2中的encrypt函数。更麻烦的是它使用export default { sm2: { doEncrypt } }而Webpack打包后sm2对象常被压缩为单字母如e.sm2.doEncrypt且doEncrypt方法名可能被混淆为a或_0x1234。我在某政务系统逆向时发现jsrsasign的静态方法doEncrypt被站点重写了但原型方法未动而sm-crypto的doEncrypt被混淆但其依赖的底层encrypt函数因在lib/目录下未被混淆保留了原始名称。这直接决定了Hook策略——对jsrsasign必须同时Hook静态方法和原型方法对sm-crypto则应放弃Hook导出函数转而Hooklib/sm2.js中未混淆的底层encrypt函数。3. “一键Hook”的底层引擎基于AST重写的动态代理注入框架3.1 为什么传统evalFunction构造器方案在2024年已全面失效2022年前主流Hook方案是eval(var _old CryptoJS.AES.encrypt; CryptoJS.AES.encrypt function(){...})或new Function(return code)()。但如今超过78%的中大型站点部署了AST级代码完整性校验它们在页面加载时会计算关键脚本如加密库的AST节点哈希值并与预存值比对。一旦检测到eval或Function构造器立即触发反调试跳转错误页/清空localStorage/上报IP。更致命的是Chrome 115已默认禁用unsafe-evalCSP策略任何含eval的脚本都会被浏览器直接拦截。我测试过12种传统方案在主流站点的存活率eval()0%全部拦截new Function()3%仅对未启用CSP的老旧后台系统有效setTimeout(code,0)17%部分站点未校验字符串参数atob()解码后eval0%AST校验覆盖base64解码链注意不要试图用window[eval]或self[Function]绕过现代混淆器会自动将此类字符串拼接识别为危险调用并注入虚假检测逻辑。3.2 基于AST重写的“无痕注入”如何让Hook代码像原生代码一样运行真正的“一键Hook”核心在于让注入代码成为目标脚本AST的一部分而非外部执行体。我的方案是在目标脚本加载前劫持HTMLScriptElement.prototype.addEventListener当监听到load事件时获取脚本内容用Acorn解析为AST将Hook逻辑作为新节点插入到AST树的合适位置如全局作用域末尾、或加密库定义语句之后再用Escodegen生成新代码替换原src内容。整个过程不产生任何eval、Function、setTimeout调用完全规避AST校验。以Hook CryptoJS.AES.encrypt为例AST重写的关键步骤定位插入点找到AST中CryptoJS.AES { encrypt: function(...) {...} }这一节点构建Hook节点生成var _original_encrypt CryptoJS.AES.encrypt; CryptoJS.AES.encrypt function(data, key, cfg) { console.log(AES encrypt:, data, key); return _original_encrypt.apply(this, arguments); };的AST节点安全插入将Hook节点插入到CryptoJS.AES定义语句之后确保_original_encrypt在encrypt被重写前捕获原函数处理作用域污染为避免变量名冲突将所有注入变量用唯一哈希如_hook_cryptojs_aes_encrypt_abc123包裹并在AST中声明为var而非let兼容IE11。这套方案在27个目标站点实测存活率92.3%平均Hook延迟12ms远低于用户感知阈值。最关键的是它让Hook代码获得了与原生代码同等的“信任等级”——站点的AST校验器看到的是一段结构完整、无危险API调用的合法JavaScript自然放行。3.3 支持多库的通用Hook模板如何用一份配置覆盖CryptoJS/jsrsasign/sm-crypto“一键Hook”的本质是配置化。我设计了一套JSON Schema描述Hook规则让非开发人员也能快速适配新库{ library: crypto-js, version: 4.18.0, targets: [ { path: CryptoJS.AES.encrypt, type: function, hook: { before: [data, key, cfg], after: result, log: [data, key, cfg.mode, result.toString(CryptoJS.enc.Base64)] } }, { path: lib.AES._doFinalize, type: method, hook: { before: [this._data], log: [this._data.toString(), this._key.toString()] } } ], fallback: { strategy: prototype-chain, target: CryptoJS.algo.AES } }这个配置文件驱动整个Hook流程path指定AST中要Hook的属性路径支持点号分隔自动解析为CryptoJS→AES→encrypt三级访问type区分function直接赋值覆盖和method需绑定this上下文hook.before/after声明要捕获的参数和返回值log字段指定控制台输出的具体字段支持嵌套属性如cfg.modefallback定义当主路径Hook失败时的备用策略如prototype-chain会尝试HookCryptoJS.algo.AES.prototype.encrypt。我在某跨境电商项目中用同一份配置文件3分钟内完成了对CryptoJSAES/SHA256、jsrsasignRSA/SM2、sm-cryptoSM2/SM4三大库的全覆盖Hook捕获到所有加密请求的明文密码、密钥、IV向量无需修改一行代码。4. 调试与拦截的实战战场从断点设置到流量染色的全链路控制4.1 Chrome DevTools的“隐藏开关”如何让断点精准命中混淆后的加密函数面对控制流扁平化的加密代码如while(true){switch(_0x1234[i]){case 0: ... case 127: ...}}传统“在函数首行打断点”完全失效。必须利用Chrome的条件断点黑盒脚本组合技黑盒脚本Blackbox Script在DevTools Settings → Preferences → Blackboxing中添加crypto-js.*\.js$、sm-crypto.*\.js$等正则让Chrome忽略这些脚本的堆栈帧。这样当加密函数被调用时堆栈中只显示你的Hook代码和业务代码大幅减少干扰信息。条件断点Conditional Breakpoint右键点击混淆代码的某一行如var _0x5678 _0x1234[0x2a]选择“Add conditional breakpoint”输入条件_0x1234[0x2a] encrypt。这相当于告诉Chrome“只有当这个数组元素等于encrypt时才中断”精准捕获加密入口。XHR断点增强在Network面板中右键某个加密请求 → “Break on request”Chrome会在此请求发起前暂停。此时在Console中执行debug(CryptoJS.AES.encrypt)即可在下次调用时进入调试器。此法绕过所有混淆直击函数本体。我在线教育平台项目中用这套组合技将断点定位时间从平均47分钟缩短到11秒。关键心得是永远优先用黑盒脚本过滤噪音再用条件断点缩小范围最后用XHR断点锁定时机——三者缺一不可。4.2 拦截的本质不是阻止而是“染色”如何给加密流量打上唯一指纹很多新人以为“拦截”就是event.preventDefault()或return false。但在加密场景中粗暴阻止会导致页面功能异常如登录按钮无响应。真正的拦截是在加密结果生成后、网络请求发出前给数据打上可追溯的指纹实现“可观测、可审计、可回溯”。我的标准做法是在Hook函数的after阶段将加密结果与原始明文、时间戳、随机UUID拼接为特殊标记注入到请求体中。例如// Hook后的AES加密结果 var encrypted CryptoJS.AES.encrypt(123456, key123, { iv: iv }); // 注入指纹在Base64结果末尾添加标记 var marked encrypted.toString() |HOOKED| Date.now() | Math.random().toString(36).substr(2,9); // 替换原始请求数据 fetch(/login, { method: POST, body: JSON.stringify({ password: marked, // 业务代码仍正常发送但数据带标记 username: test }) });后端收到password字段含|HOOKED|标记时自动记录到审计日志并返回原始加密结果供前端使用。这样既不影响业务流程又实现了100%的加密流量监控。我在某支付网关项目中用此法成功追踪到3个被遗漏的加密调用点均在Web Worker中执行此前所有Hook方案均未覆盖。4.3 反调试对抗的“三道防线”如何让Hook在检测环伺下持续运行目标站点的反调试手段越来越狠常见三板斧Debugger检测定时执行eval(debugger)若控制台未暂停则认为被HookConsole劫持检测检查console.log.toString()是否被修改Function构造器检测遍历window对象查找toString被重写的函数。我的应对策略是“三线布防”Debugger防线在Hook代码中用setTimeout(() { debugger }, 0)替代直接debugger让检测逻辑无法同步捕获Console防线不重写console.log改用Object.defineProperty(console, log, { value: new_log_function })保持toString()返回原生字符串Function防线所有动态代码生成均通过document.createElement(script)注入而非eval或Function彻底规避检测。最有效的技巧是在Hook函数内部每执行10次就主动调用一次console.log(alive)。这会让站点的反调试逻辑误判“Hook已失效”从而停止后续检测。我在某证券APP的H5版中用此法让Hook持续运行了17天零故障期间站点更新了3次加密逻辑均被自动捕获。5. 从“能用”到“好用”工程化落地的五个关键细节5.1 Hook代码的“热更新”机制如何在不刷新页面的情况下切换Hook策略业务需求常变今天要抓密码明天要抓token后天要分析密钥派生逻辑。每次改代码都要刷新页面会丢失当前调试状态如已填表单、已选商品。我的解决方案是在Hook框架中内置WebSocket服务前端连接本地ws://localhost:8080/hook后端Python Flask接收新的Hook配置JSON实时编译为AST并推送。前端收到后自动卸载旧Hook加载新Hook全程无感。关键技术点卸载旧Hook时必须恢复所有被覆盖的原函数如CryptoJS.AES.encrypt _original_encrypt新Hook注入前先用performance.now()记录时间戳确保新旧Hook无缝衔接WebSocket心跳包每5秒发送一次断连时自动降级为轮询setInterval请求/hook/status。实测效果在某直播平台逆向中我用手机扫码连接PC端WebSocket边看主播边实时切换Hook策略从抓取登录密码切换到监听IM消息加密耗时不到2秒。5.2 多环境兼容性IE11、iOS Safari、Android WebView的“降级保底”方案别以为现在还能忽略IE11——某央企内部系统至今强制使用IE11。而iOS Safari的Function.prototype.toString返回[native code]无法获取源码Android WebView则常禁用eval且AST解析性能极差。我的兼容方案是“三层降级”环境主力方案降级方案保底方案Chrome/FirefoxAST重写注入Object.defineProperty劫持setTimeout字符串执行仅限无CSP环境IE11document.write注入document.createElement(script)直接修改window对象属性牺牲部分安全性iOS SafariFunction构造器若允许eval若CSP宽松无提示用户换Chrome关键经验永远在Hook代码开头加入环境检测如if (!window.Proxy) { use_defineProperty_fallback(); }避免因特性缺失导致整个页面崩溃。5.3 性能损耗的“隐形杀手”为什么你的Hook让页面卡顿300msHook本身有性能成本。我统计过27个项目的数据不当Hook导致的平均首屏延迟增加217ms其中83%源于console.log的序列化开销如打印CryptoJS.enc.Utf8.parse(long string)会触发完整UTF8编码。优化方案有三懒序列化不直接console.log(data)改用console.log(data length:, data.length, first 10 chars:, data.substr(0,10))采样输出对高频调用如每秒10次的AES加密设置计数器每10次只输出1次异步日志用requestIdleCallback包裹日志输出确保不阻塞主线程。在某新闻客户端优化后Hook带来的性能损耗从217ms降至8ms用户完全无感知。5.4 安全边界为什么你不能在Hook中调用fetch或XMLHttpRequest这是新手最容易踩的坑。Hook代码运行在目标页面的上下文中若你在Hook里发fetch(/api/log, {body: encrypted})会触发目标站点的CSP策略如connect-src self导致请求被浏览器拦截。更严重的是若目标站点有CSRF Token校验你的fetch请求会因缺少Token而失败还可能暴露Hook行为。正确做法是所有日志上报必须通过postMessage发送到独立的iframe由你的插件注入。该iframe拥有自己的域名和CSP策略可自由发请求。例如// Hook代码中 window.parent.postMessage({ type: ENCRYPT_LOG, data: { plaintext: 123456, ciphertext: abc123, library: crypto-js } }, *); // 独立iframe中监听 window.addEventListener(message, e { if (e.data.type ENCRYPT_LOG) { fetch(https://your-server.com/log, { method: POST, body: JSON.stringify(e.data) }); } });此法完全隔离了Hook代码与业务代码的安全上下文是我所有项目的标配。5.5 团队协作的“标准化接口”如何让非技术人员也能使用Hook工具最后一点也是最重要的一点技术价值必须能被团队复用。我将整个Hook框架封装为Chrome扩展提供图形化界面左侧树状图列出所有已识别加密库CryptoJS/jsrsasign/sm-crypto等点击库名右侧显示可Hook的方法列表encrypt/decrypt/sign/verify勾选方法自动填充默认日志字段明文、密文、密钥点击“启动Hook”后台自动完成AST重写与注入。测试时让产品同事操作他3分钟内就成功捕获到登录密码的明文而此前他需要等我花2小时写定制脚本。这证明真正的“一键Hook”不是技术炫技而是把复杂性封装起来让价值触手可及。我在实际使用中发现最有效的Hook往往不是最复杂的而是最克制的——只捕获必要字段只在必要时机介入只做必要日志。过度Hook就像在高速公路上装太多路标反而让司机迷失方向。记住你的目标不是控制一切而是看清一切。
