颜文字混淆工具aaencode解析

背景

很多年前了解到有一个将js代码转换为颜文字的混淆工具，混淆也就意味着输出的一段颜文字可以直接执行并且得到与原js相同的结果。今天想分析一下他的执行原理，记录如下。

混淆工具地址：https://utf-8.jp/public/aaencode.html

示例：

输入：

console.log("rock")

输出：

ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻ //*´∇｀*/ [\'_\']; o=(ﾟｰﾟ) =_=3; c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (o^_^o)/ (o^_^o);(ﾟДﾟ)={ﾟΘﾟ: \'_\' ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +\'_\') [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ \'_\')[o^_^o -(ﾟΘﾟ)] ,ﾟДﾟﾉ:((ﾟｰﾟ==3) +\'_\')[ﾟｰﾟ] }; (ﾟДﾟ) [ﾟΘﾟ] =((ﾟωﾟﾉ==3) +\'_\') [c^_^o];(ﾟДﾟ) [\'c\'] = ((ﾟДﾟ)+\'_\') [ (ﾟｰﾟ)+(ﾟｰﾟ)-(ﾟΘﾟ) ];(ﾟДﾟ) [\'o\'] = ((ﾟДﾟ)+\'_\') [ﾟΘﾟ];(ﾟoﾟ)=(ﾟДﾟ) [\'c\']+(ﾟДﾟ) [\'o\']+(ﾟωﾟﾉ +\'_\')[ﾟΘﾟ]+ ((ﾟωﾟﾉ==3) +\'_\') [ﾟｰﾟ] + ((ﾟДﾟ) +\'_\') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ ((ﾟｰﾟ==3) +\'_\') [ﾟΘﾟ]+((ﾟｰﾟ==3) +\'_\') [(ﾟｰﾟ) - (ﾟΘﾟ)]+(ﾟДﾟ) [\'c\']+((ﾟДﾟ)+\'_\') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ (ﾟДﾟ) [\'o\']+((ﾟｰﾟ==3) +\'_\') [ﾟΘﾟ];(ﾟДﾟ) [\'_\'] =(o^_^o) [ﾟoﾟ] [ﾟoﾟ];(ﾟεﾟ)=((ﾟｰﾟ==3) +\'_\') [ﾟΘﾟ]+ (ﾟДﾟ) .ﾟДﾟﾉ+((ﾟДﾟ)+\'_\') [(ﾟｰﾟ) + (ﾟｰﾟ)]+((ﾟｰﾟ==3) +\'_\') [o^_^o -ﾟΘﾟ]+((ﾟｰﾟ==3) +\'_\') [ﾟΘﾟ]+ (ﾟωﾟﾉ +\'_\') [ﾟΘﾟ]; (ﾟｰﾟ)+=(ﾟΘﾟ); (ﾟДﾟ)[ﾟεﾟ]=\'\\\'; (ﾟДﾟ).ﾟΘﾟﾉ=(ﾟДﾟ+ ﾟｰﾟ)[o^_^o -(ﾟΘﾟ)];(oﾟｰﾟo)=(ﾟωﾟﾉ +\'_\')[c^_^o];(ﾟДﾟ) [ﾟoﾟ]=\'\"\';(ﾟДﾟ) [\'_\'] ( (ﾟДﾟ) [\'_\'] (ﾟεﾟ+(ﾟДﾟ)[ﾟoﾟ]+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((o^_^o) +(o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ ((o^_^o) +(o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟoﾟ]) (ﾟΘﾟ)) (\'_\');

解析过程很简单：

1. 把奇怪的变量名替换成正常的字母便于识别；

2. 把确定的常量带入，常量表达式直接求值（基本上就是几种：算数计算，字符串拼接（非string类型变量可以拼出一些\'undefined\',\'true\',\'false\',\'object\'之类的值用来提供字符，下文中的constructor就是从这些字符里拼出来的），从字符串取字符（用[]操作））。

很快就可以化简到如下形式：

X=3[\'constructor\'][\'constructor\'];
X ( X (\'return\"\\143\\157\\156\\163\\157\\154\\145\\56\\154\\157\\147\\50\\42\\162\\157\\143\\153\\42\\51\"\') (1)) (\'_\');

里面的8进制作为ascii转出来看一下：

> "\143\157\156\163\157\154\145\56\154\157\147\50\42\162\157\143\153\42\51"
输出：\'console.log("rock")\'

原理就很明白了：

通过一个数值对象，取其构造方法，得到一个函数。再取该函数的构造方法，得到一个可以构造函数实例的方法X。

X的参数是函数代码的字符串标识，返回一个函数实例。

于是乎我们就可以将任意一个输入的字符串当做代码执行了。

 

所以上面的例子中第一行的3不重要，换成其他对象也可以；第二行最后的两个参数1和\'_\'也不中要，因为两层X实例化出来的函数都不消费参数。

另外上面的例子中套了一层 \'return <转义后的代码>\' 的结构，所以用了两层X来执行最终的结果。这个例子中不添加这一层嵌套也能达到效果，可能是为了增加混淆度。

所以我再简化一下来示例代码原理，如下：

> \'\'[\'constructor\'][\'constructor\']("\143\157\156\163\157\154\145\56\154\157\147\50\42\162\157\143\153\42\51")()
输出：rock

 

PS：

其他小技巧：将每一个小表情解释成变量或简短的算数表达式，来表示一个数字，然后通过加减法来凑八进制标识的每一位数字，只有0-7，比较好凑，也保证了表情密度，让人不容易注意到表情之外的冗余加减号和括号。